Zaměstnanci Asusu sdíleli svá hesla na GitHubu

Asus už stihl hackerský útok na své servery potvrdit a slíbit, že už je vše napraveno. Ohradil se také proti udávaným počtům ovlivněných uživatelů, přičemž jeho čísla vůbec nesedí s tím, co udává firma Kaspersky Labs i Symantec. Nyní je tu ale nová bezpečnostní lahůdka, kterou mají na svědomí zaměstnanci Asusu a týká se především jich samotných. 

 

 

Bezpečnostní výzkumník, který vystupuje pod zajímavou přezdívkou SchizoDuckie i na GitHubu, objevil, že právě na tomto serveru si zaměstnanci Asusu sdíleli svá hesla k firemním e-mailovým účtům. SchizoDuckie odhalil tři takové případy, přičemž v jednom bylo heslo volně sdíleno v osobní schránce, jedno na osobních stránkách a jedno uvnitř sdíleného kódu. 

 

Server TechCrunch získal od výzkumníka jako důkaz několik screenshotů, které ukazují, že hesla se dala použít pro přístup k e-mailovým účtům, kde byly k dispozici různé vyvíjené verze aplikací, ovladačů a nástrojů. Především by se ale taková hesla mohla využít k dalším phishingovým útokům. Představit si můžeme třeba hromadně rozeslaný malware skrytý ve spustitelném souboru, což by mělo mít vysokou šanci na úspěch vzhledem k tomu, že by šlo o e-mail prokazatelně zaslaný ze známé adresy jednoho z inženýrů firmy. Útočník by si jen musel vymyslet nějakou záminku, pod kterou by donutil adresáty soubor spustit, třeba by mohl slíbit fotky nahé Anny Kurnikovové, to tu ještě nebylo. 

 

Asus k tomu serveru TechCrunch řekl, že "aktivně prošetřuje všechny systémy, aby odstranil všechna známá rizika ze serverů a podpůrného softwaru a aby zajistil, že nenastanou žádné úniky dat". Prý ale v tomto případě "nemohl ověřit platnost" daných tvrzení, ovšem dané účty na GitHubu byly den na to promazány. Reakce je to tedy podobně jako v případě napadených serverů Live Update veskrze zvláštní.