華碩內(nèi)網(wǎng)密碼泄露

原標(biāo)題：信息安全研究員：華碩內(nèi)網(wǎng)密碼在GitHub上泄露

北京時(shí)間3月28日早間消息,，據(jù)美國(guó)科技媒體TechCrunch報(bào)道，一名信息安全研究員兩個(gè)月前向華碩發(fā)出警告稱(chēng),，有華碩員工在GitHub代碼庫(kù)中錯(cuò)誤地發(fā)布了密碼,。這些密碼可以被用于訪問(wèn)該公司的企業(yè)內(nèi)網(wǎng),。

其中一個(gè)密碼出現(xiàn)在一名員工分享的代碼庫(kù)中。通過(guò)該密碼,，研究員可以訪問(wèn)內(nèi)部開(kāi)發(fā)者和工程師使用的電子郵件帳號(hào),，從而與計(jì)算機(jī)的使用者分享夜間構(gòu)建的應(yīng)用、驅(qū)動(dòng)和工具,。有問(wèn)題的代碼庫(kù)來(lái)自華碩的一名工程師,，他將電子郵件帳號(hào)密碼公開(kāi)已有至少一年時(shí)間,。目前,，盡管GitHub帳號(hào)仍然存在，但這個(gè)代碼庫(kù)已被清理,。

這位網(wǎng)名為SchizoDuckie的研究員表示：“這是個(gè)每天發(fā)布自動(dòng)構(gòu)建版本的郵箱,?！编]箱中的郵件包含存儲(chǔ)驅(qū)動(dòng)和文件的具體內(nèi)網(wǎng)路徑。研究員也分享了多張截圖以證實(shí)他的發(fā)現(xiàn),。

該研究員沒(méi)有測(cè)試,，通過(guò)這個(gè)賬號(hào)具體能獲得哪些信息，但警告稱(chēng)進(jìn)入企業(yè)內(nèi)網(wǎng)會(huì)非常容易,。他表示：“你所需要的就是發(fā)送一封帶附件的電子郵件給任何一名收件人,，進(jìn)行魚(yú)叉式釣魚(yú)攻擊?！?/p>

通過(guò)華碩專(zhuān)用的信息安全郵箱地址,，該研究員向華碩發(fā)出了密碼泄露的警告。6天后,，他無(wú)法再登錄該郵箱,，并認(rèn)為問(wèn)題已經(jīng)解決。

不過(guò)他隨后又發(fā)現(xiàn),，在GitHub上,，至少還有兩起華碩工程師泄露公司密碼的事件。

華碩總部的一名軟件架構(gòu)師在GitHub頁(yè)面上留下了用戶(hù)名和密碼,。另一名數(shù)據(jù)工程師在代碼中也泄露了密碼,。這位研究員表示：“許多公司并不知道，他們的程序員在GitHub上用代碼做了什么,?！?/p>

在媒體向華碩告知此事的一天后，包含密碼的代碼庫(kù)被下線并清理,。不過(guò)華碩發(fā)言人表示,，該公司“無(wú)法證實(shí)”研究員在郵件中的說(shuō)法是正確的?！叭A碩正在積極調(diào)查所有系統(tǒng),，消除我們服務(wù)器和支持軟件的所有已知風(fēng)險(xiǎn)，并確保沒(méi)有數(shù)據(jù)泄露,?！?/p>

華碩服務(wù)器被黑，官方回應(yīng)：鎖定特定機(jī)構(gòu)用戶(hù)的攻擊

 3月26日下午消息,，來(lái)自卡巴斯基實(shí)驗(yàn)室（Kaspersky Labs）的安全研究人員周一表示,，他們發(fā)現(xiàn)去年黑客通過(guò)華碩Live Update軟件的漏洞入侵計(jì)算機(jī)，向100多萬(wàn)華碩電腦用戶(hù)發(fā)送了惡意軟件,，導(dǎo)致這些電腦可能存在后門(mén),。

據(jù)臺(tái)灣地區(qū)媒體《中時(shí)電子報(bào)》報(bào)道，華碩今天下午表示,，此事件已在華碩的管理及監(jiān)控之中,。華碩稱(chēng),，媒體報(bào)道華碩Live Update工具程序(以下簡(jiǎn)稱(chēng)Live Update)可能遭受特定APT集團(tuán)攻擊，APT通常由第三世界國(guó)家主導(dǎo),，針對(duì)全世界特定機(jī)構(gòu)用戶(hù)進(jìn)行攻擊,，甚少針對(duì)一般消費(fèi)用戶(hù)。經(jīng)過(guò)華碩的調(diào)查和第三方安全顧問(wèn)的驗(yàn)證,，目前受影響的數(shù)量是數(shù)百臺(tái),，大部份的消費(fèi)者用戶(hù)原則上并不屬于APT集團(tuán)的鎖定攻擊范圍。

華碩內(nèi)網(wǎng)密碼泄露

華碩表示,，Live Update為華碩筆記本電腦搭載的自動(dòng)更新軟件,，部份機(jī)型搭載的版本遭黑客植入惡意程序后，上傳至檔案服務(wù)器(download server),，企圖對(duì)少數(shù)特定對(duì)象發(fā)動(dòng)攻擊,，華碩已主動(dòng)聯(lián)系此部份用戶(hù)提供產(chǎn)品檢測(cè)及軟件更新服務(wù)，并由客服專(zhuān)員協(xié)助客戶(hù)解決問(wèn)題,，并持續(xù)追蹤處理,，確保產(chǎn)品使用無(wú)虞。

針對(duì)此次攻擊,，華碩已對(duì)Live Update軟體升級(jí)了全新的多重驗(yàn)證機(jī)制,，對(duì)于軟體更新及傳遞路徑各種可能的漏洞，強(qiáng)化端對(duì)端的密鑰加密機(jī)制,，同時(shí)更新服務(wù)器端與用戶(hù)端的軟件架構(gòu),，確保這樣的入侵事件不會(huì)再發(fā)生。