Un chercheur indépendant, Mossab Hussein, aurait découvert des dizaines de fichiers exposés dans un GitLab utilisé par des employés de Samsung. Ces documents comprendraient du code source sensible, des identifiants, ainsi que des clés secrètes concernant plusieurs projets internes. Les fichiers en question étaient en mode « public » sur la plateforme, sans aucune protection par mot de passe, ou autre type d’authentification.
Déjà, le 10 avril dernier, le chercheur avait averti le constructeur asiatique de l’existence de clés de sécurité en accès libre. L’entreprise coréenne avait mis 20 jours pour réagir. Le chercheur explique à TechCrunch que ce laxisme aurait pu entraîner des conséquences bien plus graves. « La véritable menace réside dans la possibilité qu’une personne acquiert ce niveau d’accès au code source de l’application et y injecte un code malveillant à l’insu de l’entreprise », explique-t-il.
Dernièrement, un cas similaire a frappé Asus. Alors qu’un chercheur en sécurité avait averti l’entreprise en amont, l’entreprise a laissé traîner, pour finalement causer le piratage de milliers d’ordinateurs de le marque.