華碩內(nèi)網(wǎng)密碼泄露

原標(biāo)題：信息安全研究員：華碩內(nèi)網(wǎng)密碼在GitHub上泄露

北京時(shí)間3月28日早間消息，據(jù)美國科技媒體TechCrunch報(bào)道,，一名信息安全研究員兩個(gè)月前向華碩發(fā)出警告稱,，有華碩員工在GitHub代碼庫中錯(cuò)誤地發(fā)布了密碼。這些密碼可以被用于訪問該公司的企業(yè)內(nèi)網(wǎng),。

其中一個(gè)密碼出現(xiàn)在一名員工分享的代碼庫中,。通過該密碼，研究員可以訪問內(nèi)部開發(fā)者和工程師使用的電子郵件帳號,，從而與計(jì)算機(jī)的使用者分享夜間構(gòu)建的應(yīng)用、驅(qū)動(dòng)和工具,。有問題的代碼庫來自華碩的一名工程師,，他將電子郵件帳號密碼公開已有至少一年時(shí)間。目前,，盡管GitHub帳號仍然存在,，但這個(gè)代碼庫已被清理。

這位網(wǎng)名為SchizoDuckie的研究員表示：“這是個(gè)每天發(fā)布自動(dòng)構(gòu)建版本的郵箱,?！编]箱中的郵件包含存儲(chǔ)驅(qū)動(dòng)和文件的具體內(nèi)網(wǎng)路徑。研究員也分享了多張截圖以證實(shí)他的發(fā)現(xiàn),。

該研究員沒有測試,，通過這個(gè)賬號具體能獲得哪些信息,，但警告稱進(jìn)入企業(yè)內(nèi)網(wǎng)會(huì)非常容易。他表示：“你所需要的就是發(fā)送一封帶附件的電子郵件給任何一名收件人,，進(jìn)行魚叉式釣魚攻擊,。”

通過華碩專用的信息安全郵箱地址,，該研究員向華碩發(fā)出了密碼泄露的警告,。6天后，他無法再登錄該郵箱,，并認(rèn)為問題已經(jīng)解決,。

不過他隨后又發(fā)現(xiàn)，在GitHub上,，至少還有兩起華碩工程師泄露公司密碼的事件,。

華碩總部的一名軟件架構(gòu)師在GitHub頁面上留下了用戶名和密碼。另一名數(shù)據(jù)工程師在代碼中也泄露了密碼,。這位研究員表示：“許多公司并不知道,，他們的程序員在GitHub上用代碼做了什么?！?/p>