华硕内网密码泄露:信息安全研究员:华硕内网密码在GitHub上泄露

Bianews 3月28日消息,据TechCrunch报道,两个月前,一名信息安全研究员向华硕发出警告表示,华硕的员工在GitHub代码库中错误地发布密码,然而,这些密码可被用于访问该公司的企业内网华硕内网密码泄露

研究员通过此密码可访问内部开发者和工程师使用的电子邮件帐号华硕内网密码泄露,从而与计算机的使用者分享夜间构建的应用、驱动和工具。

有问题的代码库来自华硕的一名工程师,他将电子邮件帐号密码公开已至少一年的时间华硕内网密码泄露。目前,尽管GitHub帐号仍然存在,但这个代码库已被清理。

研究员SchizoDuckie表示,这是个每天发布自动构建版本的邮箱。邮箱中的邮件包含存储驱动和文件的具体内网路径,另外,研究员也分享了与其相关的多张截图。

该研究员没有测试,通过这个账号具体能获得哪些信息,但是进入企业内网会非常容易。就是发送一封带附件的电子邮件给任何一名收件人,进行鱼叉式钓鱼攻击。

该研究员通过华硕专用的信息安全邮箱地址,向华硕发出了密码泄露的警告。6天后,他无法再登录该邮箱,并认为问题已经解决。

该研究员发现,至少还有两起华硕工程师在GitHub上泄露公司密码的事件。华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。

该研究员表示,许多公司并不知道他们的程序员在GitHub上用代码做了什么。后来,该公司下线并清理了包含密码的代码库。

华硕发言人表示,该公司无法证实研究员在邮件中的说法是正确的,并会调查所有系统,消除其服务器和支持软件的所有的已知风险,旨在确保没有数据泄露。

(Bianews编译,来源:TechCrunch)

低级错误!华硕内网密码泄露 被告知后仍称“无法证实”

华硕内网密码泄露。3月28日早间,有媒体报道了华硕内网密码泄露一事。据称,1年前,有华硕员工将内网密码公开发布在GitHub上。

华硕内网密码泄露:信息安全研究员:华硕内网密码在GitHub上泄露

国外一名信息安全研究员SchizoDuckie称,他在2个月前发现,华硕一名员工在GitHub代码库中上传了一段密码,通过这段密码,他竟可以直接访问华硕内部开发者和工程师使用的电子邮件帐号。还要他通过这个邮箱,发送一封带附件的邮件给任何一名收件人,进行鱼叉式钓鱼攻击,就能进入企业内网。

据SchizoDuckie表示,不只1位华硕员工犯这种低级错误,光他自己就发现了另外2个同类事件。其中,华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。

华硕被告知此事1天后,包含密码的代码库被下线并清理,但华硕方表示,该公司“无法证实”研究员在邮件中的说法是正确的。