Ayer, los investigadores de Kasperksy Lab informaron sobre una vulnerabilidad en la actualización del servidor de Asus, que fue aprovechado por hackers para inyectar malware en el software de la compañía que posteriormente se propagó a miles de portátiles en todo el mundo.
Ahora, un experto en seguridad ha declarado a TechCrunch que hace dos meses advirtió a Asus que sus trabajadores estaban publicando de forma incorrecta las contraseñas en el repositorio Github. En este sentido, los repositorios podían ser utilizados por los hackers para acceder a la red corporativa de Asus.
El investigador encontró una contraseña en el repositorio que le otorgó acceso a una cuenta de correo electrónico utilizada por los ingenieros de Asus para compartir compilaciones de apps, controladores y otras herramientas para los usuarios de sus portátiles. El repositorio era propiedad de un empleado de Asus que dejó las credenciales expuestas durante casi un año. Aunque el repositorio ya ha sido eliminado, la cuenta de Github del empleado aún existe.
Al parecer, el investigador no llegó hasta el fondo de sus hallazgos, pero considera que podría haber sido sencillo para él hackear la red de Asus. Según él, solo hace falta enviar uno de los correos del repositorio con un archivo a cualquiera de los destinatarios dentro de la compañía para perpetrar un ataque exitoso.
A pesar de que los hallazgos del experto no habrían detenido a los hackers en su ataque a la herramienta de actualización de software de Asus, las declaraciones dejan en evidencia el error de seguridad que pudo exponer la red de la compañía a un ataque similar o incluso peor.
El investigador contactado por TechCrunch notificó a Asus sobre las credenciales expuestas a través de un correo electrónico. Luego de 6 días, ya no tuvo la posibilidad de iniciar sesión, por lo que asumió que la compañía ya había resuelto el problema.