（原標(biāo)題：三星多個(gè)內(nèi)部項(xiàng)目敏感源代碼泄露）

PingWest品玩5月9日訊，據(jù)techcrunch報(bào)道，迪拜網(wǎng)絡(luò)安全公司SpiderSilk的安全研究員莫薩布?侯賽因(Mossab Hussein)最近發(fā)現(xiàn)，三星工程師使用的某開(kāi)發(fā)實(shí)驗(yàn)室泄露了其多個(gè)內(nèi)部項(xiàng)目的高度敏感源代碼、憑證和密鑰，其中包括其SmartThings平臺(tái)項(xiàng)目。

三星將幾十個(gè)內(nèi)部編碼項(xiàng)目留在了三星旗下實(shí)驗(yàn)室Vandev Lab上的GitLab實(shí)例中。這個(gè)實(shí)例被工作人員用來(lái)共享三星的各種應(yīng)用、服務(wù)和項(xiàng)目，并為其貢獻(xiàn)代碼。由于這些項(xiàng)目被設(shè)置為“公共”，而且沒(méi)有用密碼進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，因此任何人都可以深入查看每個(gè)項(xiàng)目的進(jìn)展，訪問(wèn)和下載源代碼，從而導(dǎo)致絕密信息泄露。

其中一個(gè)項(xiàng)目包含的憑證允許任何人訪問(wèn)三星工程師正在使用的完整AWS帳戶，里面包括100多個(gè)S3存儲(chǔ)桶，其中包含日志和分析數(shù)據(jù)。許多文件夾包含三星SmartThings和Bixby服務(wù)的日志和分析數(shù)據(jù)，但也有幾名員工公開(kāi)的、以明文形式存儲(chǔ)的私有GitLab令牌，這使得侯賽因能夠利用42個(gè)公共項(xiàng)目獲得的信息對(duì)另外135個(gè)項(xiàng)目進(jìn)行訪問(wèn)，包括許多私人項(xiàng)目。

三星發(fā)言人扎克?杜根(Zach Dugan)表示：“最近，一位個(gè)人安全研究員報(bào)告說(shuō)，我們一個(gè)測(cè)試平臺(tái)的安全獎(jiǎng)勵(lì)計(jì)劃存在漏洞。我們迅速撤銷(xiāo)了其報(bào)告測(cè)試平臺(tái)的所有密鑰和憑證，雖然我們尚未找到任何外部訪問(wèn)的證據(jù)，但我們目前正在對(duì)此進(jìn)行進(jìn)一步調(diào)查。”

侯賽因稱，三星的數(shù)據(jù)泄露是他迄今最大的發(fā)現(xiàn)。他說(shuō)：“我還沒(méi)有見(jiàn)過(guò)這么大的一家公司使用這種奇怪的做法來(lái)處理他們的基礎(chǔ)設(shè)施?！?/p>