Mossab Hussein revela que “tropeçou” na informação num GitLab usado por equipas da Samsung. Algumas dezenas de ficheiros tinham sido deixados como “Públicos” quando deviam estar em modo “Privado” e puderam ser acedidos e descarregados por qualquer pessoa. Este investigador reportou a descoberta à Samsung a 10 de abril, mas só a 30 de abril é que a empresa sul-coreana agiu e protegeu os ficheiros.
Entre os ficheiros detetados estavam código fonte para produtos como a plataforma SmartThings ou serviços do Bixby, credenciais de acesso à conta Amazon Web Services que era usada pela equipa e vários tokens de funcionários para o GitLab que poderiam ser usados para ganhar ainda mais acessos.
Um porta-voz da empresa diz ao TechCrunch que as credenciais foram rapidamente revogadas e que os acessos estariam a ser usados apenas em ambiente de testes.
A ameaça, segundo o investigador, é que alguém possa ter descarregado o código fonte dos produtos e serviços e usado essa informação para criar ataques de malware que passem sob o radar da Samsung e afetem os utilizadores.
