Credenciales de AWS expuestas en repositorios GitLab, Cortesía: Mossab Hussein/TechCrunh

El investigador de seguridad Mossab Hussein, de la firma SpiderSilk detectó una serie de proyectos privados de Samsung que se encontraban expuestos públicamente en su repositiorio en GitLab.

De acuerdo con TechCrunch, el investigador descubrió que el fabricante coreano tenía expuesto código fuente “sensible” de varios de sus proyectos privados, incluídos el código de la aplicación SmartThings, así como también, expuso los datos de empleados y credenciales en texto plano.

Hussein afirmó que uno de los laboratorios de desarrollo de Samsung estaba filtrando esta información a través de su repositorio en GitLab, configurado con el propio dominio de la compañía.

GitLab es uno de los repositorios usados por millones de desarrolladores a nivel mundial para compartir sus proyectos bien sea a nivel público con todos los que visiten el perfil, o de modo privado con un grupo de colaboradores. En este sentido, tal vez algún error por parte del equipo de desarrollo permitió que los proyectos de Samsung se subieran al repositorio configurados como públicos, permitiendo que cualquiera pudiese clonar o hasta descargar los códigos y credenciales sin problemas.

El investigador señaló que un proyecto contenía nada más y nada menos que credenciales de acceso total a la cuenta Amazon Web Service que incluía más de cien cubos de almacenamiento S3 con registros y datos analíticos.

Asimismo, Hussein señaló que los tokens GitLab privados de varios empleados fueron expuestos y almacenados en texto sin formato, lo que le permitió obtener acceso adicional de 42 proyectos públicos a 135 proyectos.

Tenía el token privado de un usuario que tenía acceso completo a todos los 135 proyectos en ese GitLab.

La verdadera amenaza radica en la posibilidad de que alguien adquiera este nivel de acceso al código fuente de la aplicación y lo inyecte con código malicioso sin que la compañía lo sepa.

Cabe destacar que tras el hallazgo, Hussein que se caracteriza por ser un hacker ético, aseguró que alertó a Samsung de la vulnerabilidad el pasado 10 de abril de 2019, sin embargo, no fue hasta el 30 de abril cuando la compañía accedió a bloquear y remover los datos de acceso filtrados.

Por su parte, Samsung afirma que la información detectada por el investigador forma parte de sus plataforma de pruebas, aunque Hussein asegura que no es así, según TechCrunch.

Recientemente, un investigador de seguridad individual informó una vulnerabilidad a través de nuestro programa de recompensas de seguridad con respecto a una de nuestras plataformas de prueba.

Rápidamente revocamos todas las claves y certificados para la plataforma de prueba informada y aunque todavía no hemos encontrado evidencia de que se haya producido ningún acceso externo, actualmente estamos investigando esto más a fondo.

Aunque Samsung asegura que ya revocó todos los accesos, resulta preocupante que una compañía como esta haya permitido este tipo de filtraciones, que de haber sido detectadas por algún otro atacante hubiese generado problemas abismales.

Hussein afirmó que el hallazgo de los archivos de Samsung ha sido uno de los más grandes hasta ahora.