கடந்த மாதம், சாம்சங்கிற்கு சொந்தமான வந்தேவ் லேபிற்கான கிட்லாப் நிகழ்வு, கடவுச்சொல் மூலம் அதன் திட்டங்களை பாதுகாக்கவில்லை என்பது கண்டுபிடிக்கப்பட்டது. எனவே, பல்வேறு சாம்சங் பயன்பாடுகள், சேவைகள் மற்றும் திட்டங்களுக்கான டஜன் கணக்கான உள் குறியீட்டு திட்டங்கள் பொதுமக்களுக்கு அமைக்கப்பட்டன, இதன் விளைவாக சாம்சங் திட்டங்களுக்கு அதன் பிரபலமான ஸ்மார்ட் ஹோம் சுற்றுச்சூழல் அமைப்பு ஸ்மார்ட்டிங்ஸ் உட்பட கூடுதல் அணுகலை வழங்கியது.
கடவுச்சொல் மூலம் திட்டங்களை சரியாகப் பாதுகாக்காமல், மூலக் குறியீட்டைப் பார்க்கவும், பதிவிறக்கவும் அல்லது மாற்றங்களைச் செய்யவும் இது யாருக்கும் திறனைக் கொடுத்தது.
ஸ்பைடர்சில்கின் பாதுகாப்பு ஆராய்ச்சியாளர் மொசாப் ஹுசைன் ஏப்ரல் 10 ம் தேதி பாதுகாப்பில் ஏற்பட்ட குறைபாட்டைக் கண்டுபிடித்து அதை சாம்சங்கிற்கு அறிவித்தார். அவரது கண்டுபிடிப்புகளில், பதிவுகள் மற்றும் பகுப்பாய்வு தரவுகளைக் கொண்ட நூற்றுக்கும் மேற்பட்ட S3 சேமிப்பு வாளிகள் உட்பட முழு AWS கணக்கிற்கும் அணுகல் இருந்தது.
பதிவுகள் மற்றும் பகுப்பாய்வு சாம்சங் தயாரிப்புகளான ஸ்மார்ட்டிங்ஸ் மற்றும் பிக்ஸ்பி சேவைகள் மற்றும் பல ஊழியர்களின் தனிப்பட்ட கிட்லாப் டோக்கன்களை எளிய உரையில் உள்ளடக்கியது. இந்த டோக்கன்களைப் பயன்படுத்துவதன் மூலம், 45 முதல் 135 பொது மற்றும் தனியார் திட்டங்களை ஹுசைன் அணுக முடிந்தது.
அவர் சாம்சங்கைத் தொடர்பு கொண்டபோது, சில கோப்புகள் சோதனைக்குரியவை என்று ஹுசைனிடம் கூறப்பட்டது, ஆனால் ஆண்ட்ராய்டு ஸ்மார்ட்டிங்ஸ் பயன்பாட்டின் தற்போதைய பதிப்பிற்கான மூலக் குறியீட்டை அவர் சுட்டிக் காட்டினார். இருப்பினும், அவர்களின் உரையாடலில் இருந்து பயன்பாடு புதுப்பிக்கப்பட்டது.
இந்த அணுகலின் மிகவும் ஆபத்தான பகுதி என்னவென்றால், கிட்லாப் டோக்கன்களுடன், ஹுசைன் சாம்சங்கின் குறியீட்டில் மாற்றங்களைச் செய்திருக்கலாம். அவர் கூறினார்:
பயன்பாட்டு மூலக் குறியீட்டிற்கான அணுகலை யாராவது பெற்றுக் கொள்வதற்கும், நிறுவனத்திற்குத் தெரியாமல் தீங்கிழைக்கும் குறியீட்டை ஊசி போடுவதற்கும் உண்மையான அச்சுறுத்தல் உள்ளது.
ஹுசைன் சாம்சங்கைத் தொடர்பு கொண்ட சில நாட்களுக்குப் பிறகு AWS சான்றுகள் ரத்து செய்யப்பட்டன, ஆனால் ரகசிய விசைகள் மற்றும் சான்றிதழ்கள் இதேபோன்ற சிகிச்சையைப் பெற்றனவா என்பது சரிபார்க்கப்படவில்லை. இப்போது இருப்பதைப் போல, சாம்சங் பாதிப்பு அறிக்கையை முதலில் அறிவித்த கிட்டத்தட்ட ஒரு மாதத்திற்குப் பிறகும் அதை மூடவில்லை. இருப்பினும், ஒரு கருத்தை கேட்டபோது, சாம்சங் செய்தித் தொடர்பாளர் சாக் டுகன் பதிலளித்தார்:
புகாரளிக்கப்பட்ட சோதனை தளத்திற்கான அனைத்து விசைகள் மற்றும் சான்றிதழ்களை விரைவாக ரத்துசெய்துள்ளோம், எந்தவொரு வெளிப்புற அணுகலும் நிகழ்ந்ததற்கான ஆதாரங்களை நாங்கள் இன்னும் கண்டுபிடிக்கவில்லை என்றாலும், தற்போது இதை மேலும் விசாரித்து வருகிறோம்.
ஹுசைனின் கூற்றுப்படி, கிட்லாப் தனியார் விசைகள் ரத்து செய்ய ஏப்ரல் 30 வரை ஆனது, மேலும் அவர் மேற்கோள் காட்டியுள்ளார், "இது போன்ற ஒரு வித்தியாசமான நடைமுறைகளைப் பயன்படுத்தி இந்த நிறுவனங்களின் உள்கட்டமைப்பைக் கையாளும் ஒரு நிறுவனத்தை நான் பார்த்ததில்லை." டெக் க்ரஞ்ச் இந்த சம்பவம் குறித்து குறிப்பிட்ட கேள்விகளைக் கேட்டபோது, அல்லது ஆதாரங்களுக்காக இது சோதனைச் சூழல்களுக்கு மட்டுமே, சாம்சங் மறுத்துவிட்டது.
தொழில்நுட்பம் நம் வாழ்வின் ஒவ்வொரு அம்சத்திலும் அதன் வழியைக் கண்டுபிடிப்பதால், இந்த நாட்களில் சரியான பாதுகாப்பு நடைமுறைகள் எவ்வாறு மேலும் முக்கியத்துவம் பெறுகின்றன என்பதற்கு இது மற்றொரு எடுத்துக்காட்டு.
கூகிள் நெஸ்ட் ஹப் மேக்ஸ் ஹேண்ட்-ஆன்: உங்கள் ஸ்மார்ட் வீட்டிற்கு ஒரு சிறந்த ஆல் இன் ஒன்
எங்கள் இணைப்புகளைப் பயன்படுத்தி வாங்குவதற்கான கமிஷனைப் பெறலாம். மேலும் அறிக.
