華碩回應內網密碼在GitHub上泄露

　　3月28日消息 日前有國外科技媒體援引消息人士爆料稱，一名信息安全研究員在兩個月前曾向華碩方面發(fā)出了關于“有華碩員工在GitHub代碼庫中錯誤地發(fā)布了密碼，且這些密碼可以被用于訪問該公司的企業(yè)內網”的警告！而據最新消息顯示，華碩方面也已回應此事。

　　據悉，其中一個密碼出現在一名員工分享的代碼庫中，研究員通過該密碼可以訪問內部開發(fā)者和工程師使用的電子郵件帳號，從而與計算機的使用者分享夜間構建的應用、驅動和工具；有問題的代碼庫來自華碩的一名工程師，他將電子郵件帳號密碼公開已有至少一年時間！目前，盡管GitHub帳號仍然存在，但這個代碼庫已被清理。

　　這位網名為SchizoDuckie的研究員表示：“這是個每天發(fā)布自動構建版本的郵箱。”郵箱中的郵件包含存儲驅動和文件的具體內網路徑，研究員也分享了多張截圖以證實他的發(fā)現。

　　該研究員沒有測試，通過這個賬號具體能獲得哪些信息，但警告稱進入企業(yè)內網會非常容易。他表示：“你所需要的就是發(fā)送一封帶附件的電子郵件給任何一名收件人，進行魚叉式釣魚攻擊。”

　　通過華碩專用的信息安全郵箱地址，該研究員向華碩發(fā)出了密碼泄露的警告。6天后，他無法再登錄該郵箱，并認為問題已經解決。

　　不過，他隨后又發(fā)現，在GitHub上至少還有兩起華碩工程師泄露公司密碼的事件。

　　華碩總部的一名軟件架構師在GitHub頁面上留下了用戶名和密碼，另一名數據工程師在代碼中也泄露了密碼，這位研究員表示：“許多公司并不知道，他們的程序員在GitHub上用代碼做了什么。”

　　盡管在媒體向華碩告知此事的一天后包含密碼的代碼庫被下線并清理，但華碩發(fā)言人卻聲稱，該公司“無法證實”研究員在郵件中的說法是正確的，“華碩正在積極調查所有系統(tǒng)，消除我們服務器和支持軟件的所有已知風險，并確保沒有數據泄露。”