Berbagai Konten Rahasia dan "Source Code" Samsung Bocor di Internet
Hai, MedForians!
Ada kebocoran data di salah satu perusahaan teknologi besar dunia!
Tidak Sengaja Bocor
Dikabarkan bahwa sebuah laboratorium pengembangan yang digunakan oleh insinyur Samsung telah membocorkan kredensial, kunci rahasia, dan kode sumber sensitif untuk beberapa proyek internal perusahaan, termasuk juga platform SmartThings.
Dilansir dari TechCrunch, kode programming tersebut tertinggal di website GitLab yang meng-hosting domain milik Samsung, yaitu Vandev Lab.
Domain ini digunakan oleh karyawan Samsung untuk menyebarkan dan saling berkontribusi untuk mengerjakan berbagai macam aplikasi, proyek, dan layanan Samsung.
Setelah ditelusuri, data tersebut bocor karena proyek ini menggunakan pengaturan privasi “public” dan tidak diamankan dengan kata sandi.
Sehingga, siapapun yang mencari atau memiliki tautan ke proyek tersebut dapat melihat semua informasi yang sedang dikerjakan oleh Samsung, mulai dari kode sumber, proyek, hingga aplikasi yang akan rilis nantinya.
Peneliti Keamanan SpiderSilk, Mossab Hussein, berhasil menemukan data-data sensitif yang terdapat pada domain tersebut. Kemudian, ia mengatakan bahwa salah satu proyek disitu memiliki konten kredensial yang memberikan akses terhadap seluruh akun AWS yang sedang digunakan, termasuk juga lebih dari ratusan”S3 Storage Bucket” yang berisi catatan dan data analisis.
Kemudian, banyak dari folder yang ditemukannya menyimpan konten data untuk produk SmartThings dan layanan Bixby.
Setelah ditelusuri lebih lanjut lagi, ditemukan juga beberapa karyawan yang menyimpan token privat GitLab dengan file plaintext. Ditambah dengan bocornya data ini, siapapun, termasuk Mossab Hussein, dapat mendapatkan akses lebih lanjut ke 42 hingga 135 proyek yang ada.
Respons Balik
Setelah mendengar kabar ini, pihak Samsung segera merespon langsung ke Hussein. Pihak perusahaan asal Korea Selatan ini mengatakan bahwa sebagian file yang terdapat pada proyek tersebut hanyalah untuk “percobaan” saja.
Namun, Hussein tidak setuju dengan pendapat itu, dan ia meng-klaim bahwa kode sumber di repositori GitLab mengandung kode yang sama dengan yang dirilis di Google Play (SmartThings).
“Saya memiliki token privat dari seorang pengguna yang memiliki akses penuh terhadap semua 135 proyek di GitLab,” ungkap Hussein.
Selain itu, ia juga memperlihatkan beberapa tangkapan layar atau screenshot untuk memperkuat buktinya.
“Ancaman nyata dari kejadian ini adalah terdapat kemungkinan seseorang mendapatkan akses seperti ini ke kode sumber suatu aplikasi, kemudian menambahkan kode berbahaya tanpa sepengetahuan perusahaan,” lanjutnya.
Ia juga mengatakan telah mendokumentasikan informasi yang luar biasa banyak. Apabila data ini jatuh ke pihak tidak bertanggung jawab, maka hasilnya akan “membahayakan”.
Sebelumnya, Hussein mengatakan ia sudah memberi tahu Samsung mengenai hal ini pada 10 April yang lalu.
Beberapa hari setelahnya, Samsung segera mencabut akses berbagai kredensial AWS yang ada.
Hussein mengatakan pihak Samsung membutuhkan waktu hingga 30 April untuk mengganti semua kunci privat di repositori GitLab.
Bagaimana, MedForians? Yuk berikan tanggapannya!