低级错误!华硕内网密码泄露 被告知后仍称“无法证实”
华硕内网密码泄露。3月28日早间,有媒体报道了华硕内网密码泄露一事。据称,1年前,有华硕员工将内网密码公开发布在GitHub上。
国外一名信息安全研究员SchizoDuckie称,他在2个月前发现,华硕一名员工在GitHub代码库中上传了一段密码,通过这段密码,他竟可以直接访问华硕内部开发者和工程师使用的电子邮件帐号。还要他通过这个邮箱,发送一封带附件的邮件给任何一名收件人,进行鱼叉式钓鱼攻击,就能进入企业内网。
据SchizoDuckie表示,不只1位华硕员工犯这种低级错误,光他自己就发现了另外2个同类事件。其中,华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。
华硕被告知此事1天后,包含密码的代码库被下线并清理,但华硕方表示,该公司“无法证实”研究员在邮件中的说法是正确的。
广告、内容合作请点这里:寻求合作
咨询·服务