Sécurité

Les ingénieurs d’Asus ont exposé les mots de passe de l’entreprise pendant des mois sur GitHub

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Asus ne passe pas un très bon mois de mars. Il y a de nouvelles allégations de violations majeures de la sécurité par les employés de l’entreprise, impliquant cette fois GitHub. La nouvelle fait suite à un problème de sécurité auquel l’entreprise est toujours confrontée.

Plus tôt cette semaine, Kaspersky Labs et Symantec ont tous deux déclaré publiquement qu’une faille de sécurité majeure chez Asus avait mis les clients de l’entreprise en danger. Selon Kaspersky Labs, jusqu’à un million de systèmes pourraient avoir été infectés par une version piratée du logiciel LiveUpdate d’Asus, dans le cadre d’un objectif de ciblage d’environ 600 utilisateurs très spécifiques par adresse MAC. Asus a publié une déclaration sur les attaques, confirmant que l’attaque était classée comme APT (Advanced Persistent Threat), un type d’attaque généralement déployé par des États-nations ou potentiellement dans l’espionnage d’entreprise plutôt que par des pirates informatiques ordinaires.

Un analyste de la sécurité connu sous le nom de SchizoDuckie a contacté Techcrunch pour partager les détails d’une faille de sécurité qu’il a découverte dans le pare-feu humain d’Asus. Selon lui, Asus publiait de manière inappropriée ses propres mots de passe d’employés dans des référentiels sur GitHub. Il a pu accéder aux e-mails internes de l’entreprise grâce auxquels des versions nocturnes d’applications, de pilotes et d’outils ont été partagées. Le compte appartenait à un ingénieur qui l’aurait laissé ouvert pendant au moins un an. TC rapporte que SchizoDuckie a partagé des captures d’écran pour valider ses découvertes, bien qu’elles n’aient pas été publiées.

TechCrunch implique que cette vulnérabilité n’est pas comment les pirates de l’attaque précédente ont eu accès aux serveurs d’Asus, l’écriture:

Les découvertes du chercheur n’auraient pas arrêté les pirates qui ont ciblé l’outil de mise à jour logicielle d’Asus avec une porte dérobée, révélées cette semaine, mais révèlent une faille de sécurité flagrante qui aurait pu exposer l’entreprise à des attaques similaires ou autres. La société de sécurité Kaspersky a averti Asus le 31 janvier – juste un jour avant la propre divulgation du chercheur le 1er février – que les pirates avaient installé une porte dérobée dans l’application Asus Live Update de l’entreprise. L’application a été signée avec un certificat délivré par Asus et hébergée sur les serveurs de téléchargement de l’entreprise.

Il n’est pas clair si Asus a identifié exactement comment son application LiveUpdate a été compromise. Soi-disant, l’application a été compromise de juillet à novembre de l’année dernière et le compte GitHub avec les mots de passe publiés était actif pendant au moins un an avant que la divulgation ne soit faite à Asus le 1er février. Les délais se chevauchent considérablement. SchizoDuckie a également signalé avoir trouvé des mots de passe d’entreprise exposés sur GitHub dans les comptes de deux autres ingénieurs.

« Les entreprises n’ont aucune idée de ce que font leurs programmeurs avec leur code sur GitHub », a déclaré SchizoDuckie. Asus a déclaré qu’il ne pouvait pas vérifier les affirmations de Schizo, mais que « Asus enquête activement sur tous les systèmes pour supprimer tous les risques connus de nos serveurs et logiciels de support, ainsi que pour s’assurer qu’il n’y a pas de fuites de données ».

Ces types de problèmes de sécurité ne sont pas propres à Asus – nous avons vu un certain nombre d’entreprises clouées au sol par des informations d’identification qui fuient – mais elles montrent à quel point il est difficile de sécuriser une infrastructure moderne et à quel point il est facile pour les données de fuir.

Maintenant lis:

Bouton retour en haut de la page