三星数十个内部项目源代码泄露，内含大量敏感权限账号

迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现，三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥，其中包括其SmartThings平台项目。

  这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目，并为其贡献代码。由于这些项目被设置为“公共”，而且没有用密码进行适当的保护，因此任何人都可以深入查看每个项目的进展，访问和下载源代码，从而导致绝密信息泄露。其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户，里面包括100多个S3存储桶，其中包含日志和分析数据。

  此外，许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据，但也有几名员工公开的、以明文形式存储的私有GitLab令牌，这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问，包括许多私人项目。三星宣称，其中一些文件是用于测试的，但侯赛因对这一说法提出质疑，称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓（Android）应用程序包含的代码相同。这个应用程序已经更新过，到目前为止已经安装了1亿多次。

  公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。通过公开的密匙和令牌，他记录了大量的访问权限，如果被恶意行为者获得，可能会导致“灾难性后果”。