Zdroj: TechCrunch
Pracovníci vývoja Samsungu ponechali zdrojový kód k rôznym Samsung aplikáciam, službám a projektom voľne dostupným na inštancii GitLab. Inštancia GitLab bola hostovaná na ich vlastnej doméne a bola z neznámych dôvodov nastavená ako verejná (public). Ktokoľvek mohol nahliadnuť a stiahnuť všetko čo tam bolo hostované.
Súbory objavil bezpečnostný výskumník Mossab Hussein z firmy SpiderSilk. V jednom z projektov našiel prístup k Amazon AWS účtu. Ten obsahoval logy a analytické dáta k SmartThings a Bixby. Našiel takisto prístupy k ďalším projektom. Bol tam aj zdrojový kód Android aplikácie SmartThings, privátne certifikáty pre iOS a Android verzie aplikácií.
Výskumník mal dosť prístupov, aby vložil škodlivý kód do aplikácií bez vedomia Samsungu. Trvalo 20 dní, kým Samsung zrušil privátne kľúče pre GitLab. Podľa jeho vyjadrenia ešte nevidel takú veľkú firmu spravovať infraštruktúru takýmto čudným spôsobom.
Obrázok: „Samsung billboard“, Public Domain
