据外媒报道，迪拜网络安全的安全研究员莫萨布·侯赛因（ ）近日发现，三星工程师使用的一个开发实验室泄露了高度敏感的源代码、凭证和密钥，其中包括其平台项目。

这家电子巨头已经留下了数十个内部编码项目网站开发，例如三星旗下的实验室 Labs。员工使用此实例来共享和贡献代码给各种三星应用程序、服务和项目。由于这些项目被设置为“公开”且没有适当的密码保护，任何人都可以深入了解每个项目的进度，访问和下载源代码，从而导致绝密信息泄露。

说，其中一个项目包含允许任何人访问三星工程师正在使用的完整 AWS 账户的凭据，其中包括 100 多个包含日志和分析数据的 S3 存储桶。

此外，许多文件夹包含来自三星和服务的日志和分析数据，还包含由多名员工公开并以明文形式存储的私人令牌，允许侯赛因利用 42 个公共项目获得的信息提供对另外 135 个项目，包括许多私人项目。

三星表示其中一些文件用于测试，但 反驳了这一说法，称在存储库中找到的源代码与 4 月 10 日在 Play 商店中的源代码相同。已发布的 () 应用程序包含相同代码。该应用已更新网站优化，至今已安装超过 1 亿次。

侯赛因还分享了他发现的几张截图和一段视频，供人们检查和验证。公共实例还包含三星 iOS 和 应用程序的私有证书。

侯赛因还在泄露的文件中发现了几份内部文件和幻灯片。 “真正的威胁是php代码注入漏洞，有人可以在公司不知情的情况下获得对应用程序源代码的这种高级别的访问权限，并将恶意代码注入其中，”他说。

侯赛因还表示，通过公开可用的密钥和令牌，他记录了广泛的访问权限，如果被恶意行为者获得，可能会产生“灾难性后果”。

在侯赛因首次披露该问题近一个月后，三星仍未关闭侯赛因的漏洞报告。

在接下来的几天里，三星开始吊销 AWS 凭证，但尚不清楚剩余的密钥和凭证是否已被吊销。

三星发言人 Zach 表示：“最近，一位个人安全研究人员报告了我们的一个测试平台的安全奖励计划存在漏洞。我们立即撤回了他对测试平台的报告。虽然我们没有发现任何外部证据访问权限，我们目前正在进一步调查。”

侯赛因表示，三星直到 4 月 30 日才撤销隐私政策。关键。三星拒绝回答具体问题，也没有提供任何证据表明三星拥有的开发环境用于测试。

侯赛因说，三星数据泄露是他迄今为止最大的发现。 “我还没有见过如此规模的公司在他们的基础设施上使用这种奇怪的方法php代码注入漏洞，”他说。