Asusu unikla firemní hesla, navíc řešil napadení své aktualizační služby

  19:38aktualizováno  19:38
Programátoři společnosti Asus nechtěně zveřejnili firemní hesla. Firma navíc musela řešit problém s aktualizačním programem pro PC. Ten napadli hackeři a jeho prostřednictvím distribuovali viry.

Ilustrační snímek | foto: Technet.cz

Poslední týden v březnu by se dal bez nadsázky označit jako černý týden této společnosti. Vyšly totiž najevo hned dva bezpečnostní problémy.

Na ten první upozornila ruská bezpečnostní firma Kaspersky. Zjistila, že program Asus Live Update Utilit, který se stará o aktualizaci firmwaru, BIOSu a dalšího softwaru, byl napaden hackery. 

Jeho prostřednictvím pak mohli útočníci distribuovat zadní vrátka do systému uživatele. Následně je mohli využít k instalování dalších škodlivých programů. Podle antivirové firmy bylo takto napadeno asi 57 tisíc počítačů, které mají nějaký produkt z její dílny. Zároveň firma zveřejnila odhady, že by takto mohlo být zaútočeno až na jeden milion zařízení Asus. 

Ve výsledku však firma Kaspersky zaznamenala jen asi 600 skutečně zavirovaných počítačů.

Největším problémem bylo, že se takto napadený program nacházel přímo na serverech, odkud si jej počítače stahovaly a to včetně certifikátů, které mají ověřovat původ programu.

Útok byl označen jako APT (Advanced Persistent Threat), což je typ útoku, za kterým obvykle stojí spíše než obyčejní hackeři státy nebo korporace. Nasvědčoval by tomu i nízký počet napadených počítačů.

Samotný Asus problém přiznal.

„Na malé množství zařízení byl instalován škodlivý kód prostřednictvím sofistikovaného útoku na naše servery Live Update ve snaze zaměřit se na velmi malou a specifickou skupinu uživatelů,“ píše ve zprávě k incidentu firma a dodává, že postižené kontaktovala a nabídla pomoc při odstranění viru. Zároveň vydala novou verzi programu (verze 3.6.8), která již zadní vrátka neobsahuje. Firma také oznámila, že přijala opatření, která mají takovým typům útoku zabránit. Asus zároveň vydal program, který případné napadení počítače odhalí.

Uniklá hesla

Druhý incident je také závažný. Upozornil na něj analytik, který vystupuje pod přezdívkou SchizoDuckie, a svěřil se serveru TechCrunch. Podle něj zaměstnanci Asusu špatně uschovali některá hesla v datovém úložišti na webu GitHubu.

GitHub je server, který využívají různí vývojáři ke zveřejňování svých projektů včetně zdrojového kódu či ke sdílení nápadů. Jednou z funkcí je i možnost týmové práce na programu s náhledem na různé starší verze zdrojového kódu.  

Kvůli výše zmíněné neopatrnosti tak analytik získal hesla pro přístup k firemnímu e-mailu několika zaměstnanců. Přes jeden z nich získal i přístup k e-mailovému účtu, kde byly sdíleny pracovní verze kódů ovladačů a aplikací. 

Analytik na chybu firmu upozornil již před dvěma měsíci. Asus nechal následně promazat dotčené účty na GitHubu.

Autor:
 

Nejčtenější

Dětem škodí obrazovky a displeje. Ale jinak, než si rodiče obvykle myslí

Jak všudypřítomné displeje ovlivňují výchovu dětí? (ilustrační fotografie)

Světová zdravotnická organizace vydala nová doporučení ohledně aktivit vhodných pro malé děti. Nejvíce pozornosti si...

Třímachový zabiják letadlových lodí Suchoj T-4 byl velkým žroutem rublů

Suchoj T-4

Historie letectví se pozoruhodnými stroji jenom hemží. Jedním takovým byl i sovětský bombardér Suchoj T-4. Vznikl pouze...

Poslední vrtulník. Začíná předehra zcela zapomenuté letecké tragédie

Reklama NYA zvoucí k cestování v proudové době.

Byla to budova, kterou by někteří obyvatelé New Yorku nejraději hned po dokončení nechali zdemolovat. Místní bar s...

Aktualizujte si WhatsApp. Kvůli chybě vás mohli útočníci odposlouchávat

Aplikace WhatsApp (ilustrační obrázek)

Nový trik využívající chybu v komunikační aplikaci WhatsApp umožnil na základě zmeškaného hovoru nainstalovat do...

Osudový omyl. První a poslední přistání proudového letadla v Olomouci

MiG-21F trupového čísla 0618 s nímž v Olomouci tragicky havaroval kadet Omran...

Bylo mu 23 let, když se u Přerova učil létat na vysoce výkonném letounu Mig-21F. Podcenil však zadání úkolu a při...

Další z rubriky

Vylepšený standard microSD slibuje rychlost přenosu dat 985 MB/s

Nový standard microSD Express.

Tento týden byla představena vylepšená verze paměťových microSD karet popsaná ve specifikaci SD 7.1. Novinka nese...

Prodlouží zasedačku až na druhý konec světa. Videokonference od Logitechu

Na snímku kamera Logitech Rally, Display HUB a reproduktor videokonferenční...

Není to levná záležitost, ale pokud jste při svých jednáních často odkázáni na videohovory, nabízí nový Logitech Rally...

Chytrá trouba nahradí ledničku. Jídlo uchová čtrnáct dní a není to drahé

Místo ledničky trouba. Novinka, kterou letos představí Haier.

Společnost Haier letos uvede na trh troubu, která svým způsobem funguje jako lednička. Místo toho, abyste hotové jídlo...

Najdete na iDNES.cz