您的位置 首頁 IT

華碩內網密碼泄露 華碩員工在代碼庫錯誤發布密碼

原標題:華碩內網密碼泄露 華碩員工在代碼庫錯誤發布密碼   華碩內網密碼泄露原標題:信息安全研究員:華碩內網密…

原標題:華碩內網密碼泄露 華碩員工在代碼庫錯誤發布密碼

華碩內網密碼泄露
  華碩內網密碼泄露原標題:信息安全研究員:華碩內網密碼在GitHub上泄露

北京時間3月28日早間消息,據美國科技媒體TechCrunch報道,一名信息安全研究員兩個月前向華碩發出警告稱,有華碩員工在GitHub代碼庫中錯誤地發布了密碼。這些密碼可以被用于訪問該公司的企業內網。

其中一個密碼出現在一名員工分享的代碼庫中。通過該密碼,研究員可以訪問內部開發者和工程師使用的電子郵件帳號,從而與計算機的使用者分享夜間構建的應用、驅動和工具。有問題的代碼庫來自華碩的一名工程師,他將電子郵件帳號密碼公開已有至少一年時間。目前,盡管GitHub帳號仍然存在,但這個代碼庫已被清理。

這位網名為SchizoDuckie的研究員表示:“這是個每天發布自動構建版本的郵箱。”郵箱中的郵件包含存儲驅動和文件的具體內網路徑。研究員也分享了多張截圖以證實他的發現。

該研究員沒有測試,通過這個賬號具體能獲得哪些信息,但警告稱進入企業內網會非常容易。他表示:“你所需要的就是發送一封帶附件的電子郵件給任何一名收件人,進行魚叉式釣魚攻擊。”

通過華碩專用的信息安全郵箱地址,該研究員向華碩發出了密碼泄露的警告。6天后,他無法再登錄該郵箱,并認為問題已經解決。

不過他隨后又發現,在GitHub上,至少還有兩起華碩工程師泄露公司密碼的事件。

華碩總部的一名軟件架構師在GitHub頁面上留下了用戶名和密碼。另一名數據工程師在代碼中也泄露了密碼。這位研究員表示:“許多公司并不知道,他們的程序員在GitHub上用代碼做了什么。”

在媒體向華碩告知此事的一天后,包含密碼的代碼庫被下線并清理。不過華碩發言人表示,該公司“無法證實”研究員在郵件中的說法是正確的。“華碩正在積極調查所有系統,消除我們服務器和支持軟件的所有已知風險,并確保沒有數據泄露。”

華碩服務器被黑,官方回應:鎖定特定機構用戶的攻擊

3月26日下午消息,來自卡巴斯基實驗室(Kaspersky Labs)的安全研究人員周一表示,他們發現去年黑客通過華碩Live Update軟件的漏洞入侵計算機,向100多萬華碩電腦用戶發送了惡意軟件,導致這些電腦可能存在后門。

據臺灣地區媒體《中時電子報》報道,華碩今天下午表示,此事件已在華碩的管理及監控之中。華碩稱,媒體報道華碩Live Update工具程序(以下簡稱Live Update)可能遭受特定APT集團攻擊,APT通常由第三世界國家主導,針對全世界特定機構用戶進行攻擊,甚少針對一般消費用戶。經過華碩的調查和第三方安全顧問的驗證,目前受影響的數量是數百臺,大部份的消費者用戶原則上并不屬于APT集團的鎖定攻擊范圍。

 

華碩內網密碼泄露
  華碩內網密碼泄露華碩表示,Live Update為華碩筆記本電腦搭載的自動更新軟件,部份機型搭載的版本遭黑客植入惡意程序后,上傳至檔案服務器(download server),企圖對少數特定對象發動攻擊,華碩已主動聯系此部份用戶提供產品檢測及軟件更新服務,并由客服專員協助客戶解決問題,并持續追蹤處理,確保產品使用無虞。

針對此次攻擊,華碩已對Live Update軟體升級了全新的多重驗證機制,對于軟體更新及傳遞路徑各種可能的漏洞,強化端對端的密鑰加密機制,同時更新服務器端與用戶端的軟件架構,確保這樣的入侵事件不會再發生。

本文來自網絡,不代表IT界立場,轉載請注明出處:http://www.jxctro.icu/54242.html

作者: IT界

IT界:一個神奇的IT科技資訊門戶網站

發表評論

聯系我們

聯系我們

13683682021

在線咨詢: QQ交談

郵箱: [email protected]

工作時間:周一至周五,9:00-17:30,節假日休息

關注微信
微信掃一掃關注我們

微信掃一掃關注我們

關注微博
返回頂部
重庆时时彩平台