Der Computerhersteller Asus wusste angeblich schon seit zwei Monaten, dass Passwörter für den Zugang zu seinem Netzwerk online verfügbar sind. Ein Sicherheitsforscher namens SchizoDuckie soll das taiwanische Unternehmen darüber informiert haben, dass seine Mitarbeiter die Kennwörter versehentlich auf GitHub veröffentlicht haben, wie TechCrunch berichtet.
Gegenüber TechCrunch erklärte der Forscher, er habe in einem Repository eines Asus-Mitarbeiters ein Passwort gefunden, das es ihm erlaubt habe, auf ein E-Mail-Konto zuzugreifen. Das Konto werde von internen Entwicklern und Technikern benutzt, um Nightly-Builds von Apps, Treibern und Tools zu verteilen. Das Passwort sei mindestens ein Jahr lang verfügbar gewesen.
Der Forscher will nach eigenen Angaben jedoch nicht versucht haben, selbst in das Asus-Netzwerk einzudringen. Er vermutet jedoch, dass der Zugang zu der Mailbox ein guter Ausgangspunkt für einen Spear-Phishing-Angriff gewesen wäre, um Zugangsdaten für das Firmennetzwerk zu erhalten.
Asus will der Forscher am 1. Februar über seine Entdeckung in Kenntnis gesetzt haben – also einen Tag, nachdem Kaspersky Lab die kompromittierte Version der Live-Update-Software an Asus meldete. Asus soll daraufhin den Inhalt des fraglichen Repository gelöscht haben.
Zu einem späteren Zeitpunkt soll SchizoDuckie jedoch ein weiteres Repository auf GitHub entdeckt haben, in dessen Code ebenfalls ein Nutzername mit zugehörigem Passwort versteckt war. „Unternehmen haben keine Ahnung, was Programmierer mit ihrem Code auf GitHub anstellen“, ergänzte der Forscher.
Inzwischen sollen auch diese Repositories entfernt worden sein. Gegenüber TechCrunch betonte ein Asus-Sprecher, dass es nicht möglich sei, die Vorwürfe des Forschers zu überprüfen. „Asus prüft aktiv alle Systeme, um alle bekannten Risiken zu entfernen, und um sicherzustellen, dass es keine Datenlecks gibt.“
Kaspersky hatte Anfang der Woche einen Angriff auf Asus öffentlich gemacht, bei dem es Unbekannten gelungen war, in einen Update-Server des Unternehmens einzudringen und die Software Asus Live Update so zu präparieren, dass sie Schadsoftware verbreitet. Allerdings sollen die Täter nur sehr gezielt gegen wenige Nutzer mit bestimmten MAC-Adressen vorgegangen sein.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
