華碩內(nèi)網(wǎng)密碼泄露

原標(biāo)題：信息安全研究員：華碩內(nèi)網(wǎng)密碼在GitHub上泄露

北京時間3月28日早間消息,，據(jù)美國科技媒體TechCrunch報道,，一名信息安全研究員兩個月前向華碩發(fā)出警告稱,，有華碩員工在GitHub代碼庫中錯誤地發(fā)布了密碼。這些密碼可以被用于訪問該公司的企業(yè)內(nèi)網(wǎng),。

其中一個密碼出現(xiàn)在一名員工分享的代碼庫中,。通過該密碼,，研究員可以訪問內(nèi)部開發(fā)者和工程師使用的電子郵件帳號，從而與計算機的使用者分享夜間構(gòu)建的應(yīng)用,、驅(qū)動和工具,。有問題的代碼庫來自華碩的一名工程師，他將電子郵件帳號密碼公開已有至少一年時間,。目前,，盡管GitHub帳號仍然存在，但這個代碼庫已被清理,。

這位網(wǎng)名為SchizoDuckie的研究員表示：“這是個每天發(fā)布自動構(gòu)建版本的郵箱,?！编]箱中的郵件包含存儲驅(qū)動和文件的具體內(nèi)網(wǎng)路徑,。研究員也分享了多張截圖以證實他的發(fā)現(xiàn)。

該研究員沒有測試,，通過這個賬號具體能獲得哪些信息,，但警告稱進入企業(yè)內(nèi)網(wǎng)會非常容易。他表示：“你所需要的就是發(fā)送一封帶附件的電子郵件給任何一名收件人,，進行魚叉式釣魚攻擊,。”

通過華碩專用的信息安全郵箱地址,，該研究員向華碩發(fā)出了密碼泄露的警告,。6天后，他無法再登錄該郵箱,，并認為問題已經(jīng)解決,。

不過他隨后又發(fā)現(xiàn)，在GitHub上,，至少還有兩起華碩工程師泄露公司密碼的事件,。

華碩總部的一名軟件架構(gòu)師在GitHub頁面上留下了用戶名和密碼。另一名數(shù)據(jù)工程師在代碼中也泄露了密碼,。這位研究員表示：“許多公司并不知道,，他們的程序員在GitHub上用代碼做了什么?！?/p>

在媒體向華碩告知此事的一天后,，包含密碼的代碼庫被下線并清理。不過華碩發(fā)言人表示,，該公司“無法證實”研究員在郵件中的說法是正確的,。“華碩正在積極調(diào)查所有系統(tǒng),，消除我們服務(wù)器和支持軟件的所有已知風(fēng)險,，并確保沒有數(shù)據(jù)泄露,。”

華碩服務(wù)器被黑,，官方回應(yīng)：鎖定特定機構(gòu)用戶的攻擊

 3月26日下午消息,，來自卡巴斯基實驗室（Kaspersky Labs）的安全研究人員周一表示，他們發(fā)現(xiàn)去年黑客通過華碩Live Update軟件的漏洞入侵計算機,，向100多萬華碩電腦用戶發(fā)送了惡意軟件,，導(dǎo)致這些電腦可能存在后門。

據(jù)臺灣地區(qū)媒體《中時電子報》報道,，華碩今天下午表示,，此事件已在華碩的管理及監(jiān)控之中。華碩稱,，媒體報道華碩Live Update工具程序(以下簡稱Live Update)可能遭受特定APT集團攻擊,，APT通常由第三世界國家主導(dǎo)，針對全世界特定機構(gòu)用戶進行攻擊,，甚少針對一般消費用戶,。經(jīng)過華碩的調(diào)查和第三方安全顧問的驗證，目前受影響的數(shù)量是數(shù)百臺,，大部份的消費者用戶原則上并不屬于APT集團的鎖定攻擊范圍,。

華碩內(nèi)網(wǎng)密碼泄露

華碩表示，Live Update為華碩筆記本電腦搭載的自動更新軟件,，部份機型搭載的版本遭黑客植入惡意程序后,，上傳至檔案服務(wù)器(download server)，企圖對少數(shù)特定對象發(fā)動攻擊,，華碩已主動聯(lián)系此部份用戶提供產(chǎn)品檢測及軟件更新服務(wù),，并由客服專員協(xié)助客戶解決問題，并持續(xù)追蹤處理,，確保產(chǎn)品使用無虞,。

針對此次攻擊，華碩已對Live Update軟體升級了全新的多重驗證機制,，對于軟體更新及傳遞路徑各種可能的漏洞,，強化端對端的密鑰加密機制，同時更新服務(wù)器端與用戶端的軟件架構(gòu),，確保這樣的入侵事件不會再發(fā)生,。