Prèske 200 GB nan kòd sous soti nan Samsung ak Nvidia te fwit pa Lapsus$

pandan dènye semèn yo nou pataje isit la sou blog lakèk nan yo nouvèl ki te fè konnen sou ka Hacking a Nvidia ak Samsung pa pirate gwoup Lapsus$, ki moun ki tou jere jwenn aksè nan enfòmasyon ki soti nan Ubisoft.

Epi li se ki dènyèman GitGuardian analize kòd sous Samsung pou jwenn enfòmasyon konfidansyèl, tankou kle sekrè (kle API, sètifika) ak dekouvri 6695 nan yo. Rezilta sa a te jwenn pandan yon analiz ki te itilize plis pase 350 detektè endividyèl, chak youn ap chèche karakteristik espesifik yo nan yon kalite kle sekrè, bay rezilta ak gwo presizyon.

Nan rechèch sa a, chèchè yo GitGuardian eskli rezilta yo soti nan detektè jenerik wo-entropi ak detektè modpas jenerik, paske yo ka anjeneral gen ladan yo fo pozitif ak Se poutèt sa jenere rezilta gonfle. Avèk sa nan tèt ou, kantite aktyèl kle sekrè yo ta ka pi wo.

Pou moun ki pa abitye ak GitGuardian, ou ta dwe konnen ke sa a se yon konpayi ki te fonde an 2017 pa Jérémy Thomas ak Eric Fourrier e ki te resevwa 2021 FIC Start-up Award epi li se yon manm nan FT120 la.

Konpayi an te etabli tèt li kòm yon espesyalis nan deteksyon kle sekrè ak konsantre efò R & D li yo sou solisyon ki konfòme yo ak modèl responsablite pataje alantou aplikasyon an nan AppSec pran an kont eksperyans nan devlopè.

Atik ki gen rapò ak:
Hackers menase Nvidia ak koule done sansib si yo pa komèt chofè sous louvri

Kòm nou ka wè nan rezime rezilta yo, uit premye rezilta yo reprezante 90% nan dekouvèt yo epi, byenke li se enfòmasyon trè sansib, li ka pi difisil pou yon atakè itilize, paske li pwobableman refere a sistèm entèn yo.

Sa a kite jis plis pase 600 kle otantifikasyon sekrè ki bay aksè a yon pakèt sèvis ak sistèm diferan ke yon atakè ta ka itilize pou penetre lateralman lòt sistèm yo.

» Nan plis pase 6600 kle yo jwenn nan kòd sous Samsung a, apeprè 90% se pou sèvis entèn Samsung ak enfrastrikti, pandan y ap 10% kritik ki rete a kapab bay aksè a sèvis ekstèn oswa zouti nan men Samsung, tankou AWS, GitHub, zafè, ak Google,” eksplike Mackenzie Jackson, Developer Advocate nan GitGuardian.

Atik ki gen rapò ak:
Kòd fwit nan pwodwi Samsung, sèvis ak mekanis sekirite

Yon dènye rapò GitGuardian te montre ke nan yon òganizasyon ki gen yon mwayèn de 400 devlopè, yo jwenn plis pase 1000 kle sekrè nan depo entèn kòd sous (Source State of Secrets Sprawl 2022).

Si kle sekrè sa yo koule, li ta ka afekte kapasite Samsung nan pou mete ajou telefòn yo an sekirite, bay advèsè aksè a enfòmasyon sansib kliyan, oswa ba yo aksè nan enfrastrikti entèn Samsung a, ak kapasite pou lanse lòt atak.

Mackenzie Jackson ajoute:

Atak sa yo ekspoze yon pwoblèm ke anpil nan endistri sekirite a te sonnen alam la sou: kòd sous entèn gen yon kantite lajan ki toujou ap ogmante nan done sansib, men rete yon avantaj trè enfidèl. Kòd sous yo lajman disponib pou devlopè atravè konpayi an, fè bak sou diferan serveurs, estoke sou machin lokal devlopè yo, e menm pataje atravè dokiman entèn oswa sèvis imel. Sa fè yo yon sib trè atiran pou advèsè yo e konsa nou wè yon pèsistans yap ogmante jiska frekans atak sa yo.”

Sou chanèl Lapsus$ Telegram la, nou pral kapab wè ki jan gwoup pirate a jwenn aksè nan depo sa yo lè yo voye sa ki esansyèlman yon apèl bay anplwaye gwo òganizasyon pou revele aksè yo.

Malerezman, nou pa fini wè atak tankou sa a, gwoup la se kounye a pataje biwo vòt yo, ankò atravè chanèl Telegram yo, mande odyans yo ki kòd sous yo ta dwe koule apre, ki endike ke anpil plis fwit gen chans pou vini. nan tan kap vini an.

Finalman Si ou enterese nan konnen plis bagay sou li, ou ka tcheke detay yo Nan lyen sa a.


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

Se pou premye a fè kòmantè

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye. Jaden obligatwa yo make ak *

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.