華碩內(nèi)網(wǎng)密碼泄露
原標題:信息安全研究員:華碩內(nèi)網(wǎng)密碼在GitHub上泄露
北京時間3月28日早間消息�,據(jù)美國科技媒體TechCrunch報道,一名信息安全研究員兩個月前向華碩發(fā)出警告稱�����,有華碩員工在GitHub代碼庫中錯誤地發(fā)布了密碼�����。這些密碼可以被用于訪問該公司的企業(yè)內(nèi)網(wǎng)����。
其中一個密碼出現(xiàn)在一名員工分享的代碼庫中。通過該密碼�����,研究員可以訪問內(nèi)部開發(fā)者和工程師使用的電子郵件帳號����,從而與計算機的使用者分享夜間構(gòu)建的應用、驅(qū)動和工具����。有問題的代碼庫來自華碩的一名工程師,他將電子郵件帳號密碼公開已有至少一年時間�����。目前�,盡管GitHub帳號仍然存在,但這個代碼庫已被清理�。
這位網(wǎng)名為SchizoDuckie的研究員表示:“這是個每天發(fā)布自動構(gòu)建版本的郵箱?!编]箱中的郵件包含存儲驅(qū)動和文件的具體內(nèi)網(wǎng)路徑����。研究員也分享了多張截圖以證實他的發(fā)現(xiàn)�����。
該研究員沒有測試�,通過這個賬號具體能獲得哪些信息,但警告稱進入企業(yè)內(nèi)網(wǎng)會非常容易�����。他表示:“你所需要的就是發(fā)送一封帶附件的電子郵件給任何一名收件人����,進行魚叉式釣魚攻擊?���!?/p>
通過華碩專用的信息安全郵箱地址,該研究員向華碩發(fā)出了密碼泄露的警告�����。6天后,他無法再登錄該郵箱�����,并認為問題已經(jīng)解決�。
不過他隨后又發(fā)現(xiàn)����,在GitHub上,至少還有兩起華碩工程師泄露公司密碼的事件�����。
華碩總部的一名軟件架構(gòu)師在GitHub頁面上留下了用戶名和密碼�����。另一名數(shù)據(jù)工程師在代碼中也泄露了密碼����。這位研究員表示:“許多公司并不知道,他們的程序員在GitHub上用代碼做了什么�。”
