Samsung lekte broncode en inloggegevens via publieke GitLab-instantie

Samsung lekte gevoelige broncode, inloggegevens en geheime sleutels voor verschillende interne projecten via GitLab. Dat ontdekte Mossab Hussein, beveiligingsonderzoeker bij cybersecuritybedrijf SpiderSilk.

De projecten staan op een GitLab-instantie die wordt gehost op een domein van Samsung, genaamd Vandev Lab. Technici van de fabrikant gebruiken de instantie om code te delen en bij te dragen aan verschillende Samsung-apps, -services en -projecten, zoals het SmartThings-platform.

Hussein ontdekte dat de projecten publiek toegankelijk waren en niet correct met een wachtwoord beveiligd, waardoor iedereen bij elk project naar binnen kon kijken, toegang had en de broncode kon downloaden.

Toegang AWS-account

Hussein stelde Samsung op 10 april op de hoogte van het lek. Volgens hem bevatte één project inloggegevens die toegang gaven tot het volledige AWS-account dat werd gebruikt. Hieronder bevonden zich meer dan 100 S3-buckets met logboeken en analysegegevens. Daarnaast vond de security-onderzoeker ook privé GitLab-tokens van Samsung-werknemers, die in plaintext waren opgeslagen.

“Ik had het privé-token van een gebruiker die volledige toegang had tot alle 135 projecten op dat GitLab. De echte dreiging ligt in de mogelijkheid, dat iemand dit niveau van toegang tot de programmacode van de applicatie verwerft en het met kwaadaardige code injecteert, zonder dat het bedrijf het weet”, zegt Hussein aan TechCrunch. Hij laat weten dat indien de onbeschermde privésleutels en tokens in handen zijn gekomen van een kwaadwillende persoon, de gevolgen ‘rampzalig’ kunnen zijn.

De beveiligingsonderzoeker deelde verschillende screenshots en een video van zijn bevindingen met TechCrunch. De publieke GitLab-instantie bevatte ook privécertificaten voor de iOS- en Android-apps van Samsung SmartThings. Bovendien vond Hussein ook verschillende interne documenten en diavoorstellingen tussen de blootgestelde bestanden.

In de dagen nadat Hussein zijn ontdekkingen aan Samsung heeft onthuld, begon de elektronicareus de AWS-credentials in te trekken. Het is verder niet bekend of de resterende geheime sleutels en certificaten ook zijn ingetrokken. Volgens Hussein heeft Samsung er tot 30 april over gedaan om de geheime sleutels van de GitLab in te trekken.

Testomgeving

Volgens Samsung gaat het om een testomgeving. Desondanks heeft de electronicareus de zaak betreffende het kwetsbaarheidsrapport van Hussein een maand na de bevindingen nog steeds niet afgesloten.

“Onlangs meldde een individuele beveiligingsonderzoeker een kwetsbaarheid via ons beveiligingsbeloningsprogramma met betrekking tot een van onze testplatforms. We hebben snel alle sleutels en certificaten voor het gerapporteerde testplatform ingetrokken en hoewel we nog geen bewijs hebben gevonden dat er externe toegang is opgetreden, onderzoeken we dit momenteel verder”, zegt Samsung-woordvoerder Zach Dugan tegen TechCrunch. 

Onlangs onthulde Hussein ook al een kwetsbare back-enddatabase bij Blind, een anonieme sociale netwerksite die populair is bij medewerkers van Silicon Valley. Ook vond hij eerder een server, die een lijst lekte met gebruikerswachtwoorden voor het wetenschappelijke tijdschrift Elsevier. Toch is dit naar eigen zeggen zijn grootste vondst ooit. “Ik heb niet eerder gezien dat zo’n groot bedrijf zo raar met zijn infrastructuur omspringt,” zegt hij.

Gerelateerd: Samsung kondigt Exynos i T100 IoT bluetoothchip aan