华硕内网密码泄露 回应：代码库被下线并清理

华硕内网密码泄露

北京时间3月28日早间消息，据美国科技媒体TechCrunch报道，一名信息安全研究员两个月前向华硕发出警告称，有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。

其中一个密码出现在一名员工分享的代码库中。通过该密码，研究员可以访问内部开发者和工程师使用的电子邮件帐号，从而与计算机的使用者分享夜间构建的应用、驱动和工具。有问题的代码库来自华硕的一名工程师，他将电子邮件帐号密码公开已有至少一年时间。目前，尽管GitHub帐号仍然存在，但这个代码库已被清理。

这位网名为SchizoDuckie的研究员表示：“这是个每天发布自动构建版本的邮箱。”邮箱中的邮件包含存储驱动和文件的具体内网路径。研究员也分享了多张截图以证实他的发现。

该研究员没有测试，通过这个账号具体能获得哪些信息，但警告称进入企业内网会非常容易。他表示：“你所需要的就是发送一封带附件的电子邮件给任何一名收件人，进行鱼叉式钓鱼攻击。”

通过华硕专用的信息安全邮箱地址，该研究员向华硕发出了密码泄露的警告。6天后，他无法再登录该邮箱，并认为问题已经解决。

不过他随后又发现，在GitHub上，至少还有两起华硕工程师泄露公司密码的事件。

华硕总部的一名软件架构师在GitHub页面上留下了用户名和密码。另一名数据工程师在代码中也泄露了密码。这位研究员表示：“许多公司并不知道，他们的程序员在GitHub上用代码做了什么。”

在媒体向华硕告知此事的一天后，包含密码的代码库被下线并清理。不过华硕发言人表示，该公司“无法证实”研究员在邮件中的说法是正确的。“华硕正在积极调查所有系统，消除我们服务器和支持软件的所有已知风险，并确保没有数据泄露。”

华硕服务器被黑，官方回应：锁定特定机构用户的攻击

3月26日下午消息，来自卡巴斯基实验室(Kaspersky Labs)的安全研究人员周一表示，他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机，向100多万华硕电脑用户发送了恶意软件，导致这些电脑可能存在后门。

据台湾地区媒体《中时电子报》报道，华硕今天下午表示，此事件已在华硕的管理及监控之中。华硕称，媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击，APT通常由第三世界国家主导，针对全世界特定机构用户进行攻击，甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证，目前受影响的数量是数百台，大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。

华硕表示，Live Update为华硕笔记本电脑搭载的自动更新软件，部份机型搭载的版本遭黑客植入恶意程序后，上传至档案服务器(download server)，企图对少数特定对象发动攻击，华硕已主动联系此部份用户提供产品检测及软件更新服务，并由客服专员协助客户解决问题，并持续追踪处理，确保产品使用无虞。

针对此次攻击，华硕已对Live Update软体升级了全新的多重验证机制，对于软体更新及传递路径各种可能的漏洞，强化端对端的密钥加密机制，同时更新服务器端与用户端的软件架构，确保这样的入侵事件不会再发生。

关键词： 华硕内网密码泄露