Durchgesickerte Passwörter: Asus wusste angeblich seit Monaten von Angriffsrisiko

Der Computerhersteller Asus wusste angeblich schon seit zwei Monaten, dass Passwörter für den Zugang zu seinem Netzwerk online verfügbar sind. Ein Sicherheitsforscher namens SchizoDuckie soll das taiwanische Unternehmen darüber informiert haben, dass seine Mitarbeiter die Kennwörter versehentlich auf GitHub veröffentlicht haben, wie TechCrunch berichtet.

Gegenüber TechCrunch erklärte der Forscher, er habe in einem Repository eines Asus-Mitarbeiters ein Passwort gefunden, das es ihm erlaubt habe, auf ein E-Mail-Konto zuzugreifen. Das Konto werde von internen Entwicklern und Technikern benutzt, um Nightly-Builds von Apps, Treibern und Tools zu verteilen. Das Passwort sei mindestens ein Jahr lang verfügbar gewesen.

„Es war eine Mailbox für tägliche Releases, an die automatisch Builds geschickt wurden“, sagte der Forscher. Die E-Mails hätten zudem den genauen Netzwerkpfad zu den Treibern und Dateien enthalten.

Der Forscher will nach eigenen Angaben jedoch nicht versucht haben, selbst in das Asus-Netzwerk einzudringen. Er vermutet jedoch, dass der Zugang zu der Mailbox ein guter Ausgangspunkt für einen Spear-Phishing-Angriff gewesen wäre, um Zugangsdaten für das Firmennetzwerk zu erhalten.

Asus will der Forscher am 1. Februar über seine Entdeckung in Kenntnis gesetzt haben – also einen Tag, nachdem Kaspersky Lab die kompromittierte Version der Live-Update-Software an Asus meldete. Asus soll daraufhin den Inhalt des fraglichen Repository gelöscht haben.

Zu einem späteren Zeitpunkt soll SchizoDuckie jedoch ein weiteres Repository auf GitHub entdeckt haben, in dessen Code ebenfalls ein Nutzername mit zugehörigem Passwort versteckt war. „Unternehmen haben keine Ahnung, was Programmierer mit ihrem Code auf GitHub anstellen“, ergänzte der Forscher.

Inzwischen sollen auch diese Repositories entfernt worden sein. Gegenüber TechCrunch betonte ein Asus-Sprecher, dass es nicht möglich sei, die Vorwürfe des Forschers zu überprüfen. „Asus prüft aktiv alle Systeme, um alle bekannten Risiken zu entfernen, und um sicherzustellen, dass es keine Datenlecks gibt.“

Kaspersky hatte Anfang der Woche einen Angriff auf Asus öffentlich gemacht, bei dem es Unbekannten gelungen war, in einen Update-Server des Unternehmens einzudringen und die Software Asus Live Update so zu präparieren, dass sie Schadsoftware verbreitet. Allerdings sollen die Täter nur sehr gezielt gegen wenige Nutzer mit bestimmten MAC-Adressen vorgegangen sein.