Вопрос информационной безопасности в крупных компаниях — один из самых важных. Во всяком случае, так должно быть в теории. На практике получается несколько иначе. Так, компания ASUS долгое время публиковала внутренние пароли сотрудников в репозиториях на GitHub.

Обнаружил проблему специалист по кибербезопасности из компании SchizoDuckie. Он опробовал несколько связок логин/пароль и оказалось, что они подходят к электронной почте компании, внутренней переписке, где демонстрировались прототипы приложений, новые драйвера и разного рода программные инструменты.

Правда, пароли публиковали не все сотрудники компании, а лишь один из них — разработчик, который регулярно обновлял репозитории. Он размещал пароли открытом виде в течение нескольких месяцев. После тщательного изучения других репозиториев выяснилось, что некоторые пароли публиковались и другими разработчиками.

Возможно, именно благодаря этой проблеме хакеры получили доступ к серверам компании, изменив официальное программное обеспечение. Несколько дней назад стало известно, что в течение многих месяцев ASUS распространяла зараженное ПО через сервис Live Update, снабдив оригинальным сертификатом.

Стоит отметить, что проблема актуальна не только для ASUS — подобные ошибки допускают и другие компании. Все это связано с невнимательностью сотрудников, работающих с ценными данными.