2019-03-29 15:53:11
作者:kangquan
据美国科技媒体TechCrunch报道,一名信息安全研究员两个月前向华硕发出警告称,有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。
北京时间3月28日早间消息,据美国科技媒体TechCrunch报道,一名信息安全研究员两个月前向华硕发出警告称,有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。
其中一个密码出现在一名员工分享的代码库中。通过该密码,研究员可以访问内部开发者和工程师使用的电子邮件帐号,从而与计算机的使用者分享夜间构建的应用、驱动和工具。有问题的代码库来自华硕的一名工程师,他将电子邮件帐号密码公开已有至少一年时间。目前,尽管GitHub帐号仍然存在,但这个代码库已被清理。
这位网名为SchizoDuckie的研究员表示:“这是个每天发布自动构建版本的邮箱。”邮箱中的邮件包含存储驱动和文件的具体内网路径。研究员也分享了多张截图以证实他的发现。
该研究员没有测试,通过这个账号具体能获得哪些信息,但警告称进入企业内网会非常容易。他表示:“你所需要的就是发送一封带附件的电子邮件给任何一名收件人,进行鱼叉式钓鱼攻击。”
通过华硕专用的信息安全邮箱地址,该研究员向华硕发出了密码泄露的警告。6天后,他无法再登录该邮箱,并认为问题已经解决。
不过他随后又发现,在GitHub上,至少还有两起华硕工程师泄露公司密码的事件。
华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。这位研究员表示:“许多公司并不知道,他们的程序员在GitHub上用代码做了什么。”
在媒体向华硕告知此事的一天后,包含密码的代码库被下线并清理。不过华硕发言人表示,该公司“无法证实”研究员在邮件中的说法是正确的。“华硕正在积极调查所有系统,消除我们服务器和支持软件的所有已知风险,并确保没有数据泄露。”
华硕服务器被黑,官方回应:锁定特定机构用户的攻击
3月26日下午消息,来自卡巴斯基实验室(Kaspersky Labs)的安全研究人员周一表示,他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机,向100多万华硕电脑用户发送了恶意软件,导致这些电脑可能存在后门。
据台湾地区媒体《中时电子报》报道,华硕今天下午表示,此事件已在华硕的管理及监控之中。华硕称,媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击,APT通常由第三世界国家主导,针对全世界特定机构用户进行攻击,甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证,目前受影响的数量是数百台,大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。
华硕表示,Live Update为华硕笔记本电脑搭载的自动更新软件,部份机型搭载的版本遭黑客植入恶意程序后,上传至档案服务器(download server),企图对少数特定对象发动攻击,华硕已主动联系此部份用户提供产品检测及软件更新服务,并由客服专员协助客户解决问题,并持续追踪处理,确保产品使用无虞。
针对此次攻击,华硕已对Live Update软体升级了全新的多重验证机制,对于软体更新及传递路径各种可能的漏洞,强化端对端的密钥加密机制,同时更新服务器端与用户端的软件架构,确保这样的入侵事件不会再发生。
本文推荐华硕内网密码泄露 华硕员工在代码库错误发布密码仅代表作者观点,不代表本网站立场。本站对作者上传的所有内容将尽可能审核来源及出处,但对内容不作任何保证或承诺。请读者仅作参考并自行核实其真实性及合法性。如您发现图文视频内容来源标注有误或侵犯了您的权益请告知,本站将及时予以修改或删除。
猜您喜欢
最新推荐
知名考研品牌故新教育,荣登2024年度教育培训新锐榜榜首
2024-11-08
2024-11-08
2024-11-08
2024-11-08
2024-11-08
2024-11-08
2024-11-07
相关新闻
据美国科技媒体TechCrunch报道,一名信息安全研究员两个月前向华硕发出警告称,有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。
室内门锁是安装在室内门上,用于保护室内隐私和安全的一种装置。它可以防止未经授权的人员进入室内,同时也可以保护个人隐私。正确使用和保养室内门锁可以延长其使用寿命,确保其性能和安全性能。
如今,为了安全起见,大多数智能手机都配置了密码保护功能。不过,假如输错密码一锁就得锁45年,你还会想使用这项功能吗?10月25日,有旅客将捡到的一部白色iPhone6交给了交运温州路长途站的工作人员。工作人员发现,这部手机因为多次输错密码被锁了,而且锁定的时间还不短,因为手机屏幕上显示,要2400多万分钟后才能再次尝试。也就是说,即使知道正确的手机密码,也得等上45年后才能输入了。目前,
今年五月,华硕曾为Verizon运营商定制了一款名为ZenPadZ8的平板电脑,搭载了骁龙650处理器和2GB的运行内存。
IFA2014大会在本月5日就要开幕了。赶在开幕之前,华硕也秀了一把,乘着时间发布了其比较新的两款笔记本和两款拼版电脑。下面让我们来看...
华硕PadFone变形手机自问世以来,就凭借其独特的手机+平板+上网本3合1设计和突出的用户体验而深受消费者的青睐。但是,随着智能手机更...
北京君悦锦衣服装服饰有限公司成立于2008年,旗下品牌王子密码2008年踏入休闲服饰领域,倡导“国货精品”定位于“时尚男装”的王子密码在全国各地专营着数家王子密码时尚专卖......
根据国外媒体的报道,华硕官方网站公布了K73系列新笔记本,包括K73E和K73SV两个型号。华硕K73系列笔记本搭载第二代酷睿处理器,采...
华硕的平板电脑已经占据了全球平板市场的前五位置,目前拥有拥有Fonepad、MeMOPad、VivoTab以及TransformerPad等产品线,其平板...
一年一度的Computex2017即将于明天正式拉开帷幕,不过每一次展前都会有厂商率先发布一些新品。而身处“主场”的华硕就在今天下午正式发布了包括笔记本电脑、手机、平板电脑等多条产品线的新品。本次华硕发布会主题为“TheEdgeofBeyond”,从主题含义不难看出,华硕本次推出的新品必然主打轻薄便携,另外窄边框设计也是其主旋律。华硕集团董事长施崇棠、英特尔公司副总裁兼客户端计
热门推荐
最新招商信息
相关推荐