הפריצה לשרתי יצרנית המחשבים Asus, שנחשפה מוקדם יותר השבוע, עשויה להיות תוצאה של התנהלות רשלנית להחריד של עובדי החברה, כך חשף אמש אתר TechCrunch.

חוקר אבטחה שיצר קשר עם האתר גילה כי לפני חודשיים, בסמוך לגילוי של קספרסקי אודות התוכנה הזדונית שהוחדרה לשרתי אסוס, הוא גילה את מה שככל הנראה מסביר איך הצליחו האקרים לפרוץ לשרתי החברה.

אותו חוקר, שמזדהה ברשת בשם SchizoDuckie (ברווזון סכיזופרן), גילה לפחות שלושה מקרים בהם עובדי אסוס פרסמו מאגרי קוד שכללו סיסמאות פנימיות למערכות החברה באתר GitHub. האתר, שנרכש לאחרונה על ידי מיקרוסופט, הוא מעין רשת חברתית למפתחי תוכנה, שבמקום סטטוסים ותמונות מועלים אליו מאגרי קוד של תוכנות וכלים שונים, כדי לאפשר למפתחים בגופים שונים או עצמאים להשתמש בקוד קיים במקום להתחיל כל פרויקט מאפס. ככל הנראה, עובדי אסוס לא היו מודעים לכך שבקטעי הקוד שהעלו נכללו סיסמאות לחשבונות מייל ומערכות פנימיות אחרות בחברה.

החוקר ששם לכך לב הצליח לגשת באמצעות אחת הסיסמאות שפורסמו, והיתה חשופה לעין כל במשך שנה לפחות, לחשבון מייל פנימי של החברה. "זו היתה תיבת מייל לשחרורי תוכנה יומיים, שבה נשלחו גרסאות אוטומטית", הוא סיפר ל-TechCrunch, והוסיף שבמייל נכלל מיקום התוכנות על שרתי החברה, כך שכל מי שמצא את הסיסמה למייל יכול היה לדעת היכן 'להשתיל' תוכנות כפי שעשו ההאקרים. "לחברות אין מושג מה עובדיהן עושים עם הקוד שלהן ב-GitHub", הוא כתב.

"הברווזון" דיווח לאסוס על הדליפה, ולאחר שישה ימים החברה נעלה את הגישה לחשבון, ומחקה את כל מאגרי הקוד המדוברים, אך הכחישה כי הם אכן הכילו מידע שימושי לפריצה למערכות שלה והסתפקה בהצהרה כי "אסוס חוקרת באופן פעיל את כל המערכות כדי להסיר כל איום ידוע מהשרתים והתוכנות התומכות שלנו, כמו גם כדי להבטיח שלא יהיו דליפות מידע".