Az ASUS számára biztonságtechnikai szempontból nem alakult túl jól ez a hét, hiszen néhány napja kiderült, hogy hackerek feltörték az ASUS Live Update segédprogramot, amelynek hátsó ajtóval ellátott változata akár egymillió eszközre is eljuthatott, legalábbis a Kaspersky Lab kutatói eleinte erről számoltak be. Később az ASUS kiadott egy hivatalos közleményt, amelyből kiderült, csak a noteszgépek felhasználói lehettek veszélyben, de közülük is csak kevesen, ugyanis csak a felhasználók egy szűkebb köréhez juthatott el a fertőzött tartalom.
Úgy tűnik, egy másik kellemetlenség miatt is fájhat az illetékesek feje, ugyanis egy SchizoDuckie becenévvel rendelkező biztonságtechnikai kutató arról számolt be a TechChrunch munkatársainak, talált néhány fejlesztői jelszót a GitHub-on, amelyeket véletlenül oszthattak meg az ASUS munkatársai. Az észrevételek alapján legalább három mérnök céges e-mail fiókjához tartozó jelszavak láthattak napvilágot, ugyanis a jelszavak bent maradtak a megosztásra szánt tartalmak között. Az egyik adatpár egy kódmegosztásra használatos GitHub kódgyűjteményben lapult, a másik egy tajvani szoftvermérnök GitHub lapján tűnt fel, míg a harmadikra szintén egy tajvani mérnök kódjában sikerült rábukkannni.
A kutató az állításai képekkel is bizonyította, sőt, a jelszavak közül az egyiket fel is használta, így egy olyan fiókhoz férhetett hozzá, amit fejlesztők és mérnökök használnak munkáik belső megosztására – itt nightly build állapotú alkalmazások, driverek, illetve különböző eszközök is jelen voltak. A dolog azért is veszélyes, mert a bejelentkezési adatok birtokában támadást lehet indítani az ASUS infrastruktúrája ellen, a céges email címek segítségével pedig adathalászatra is lehetőség nyílik. Utóbbi email fiók adatai egyébként a kutató szerint legalább egy éven keresztül voltak elérhetőek. A biztonságtechnikai kutató rögtön jelezte a feltárt hibát, amikor az első felhasználónévből és jelszóból álló adatpárt megtalálta, ehhez pedig az ASUS dedikált biztonságtechnikai dolgokkal kapcsolatos email címét használta.
Hat nappal az értesítés után már nem tudta használni a szóban forgó bejelentkezési adatokat, így azt hihette, megoldódott a dolog. További kutatás után a fentebb említett két másik mérnök tartalmaira is rábukkant, amelyek között szintén szerepeltek bejelentkezési adatok. Ezekről már a TechCrunch munkatársai értesítették a vállalatot, majd a levélváltást követő napon el is tűntek a kényes adatokat tartalmazó kódok.
Az ASUS szóvivője egyelőre nem tudta megerősíteni a biztonságtechnikai kutató emailben szereplő állításait, így mindössze arról számolhatott be, hogy a vállalatnál aktívan vizsgálják a rendszereiket annak érdekében, hogy minden ismert kockázatot eltávolíthassanak a szerverekről és a különböző szoftverekből, valamint arról is gondoskodjanak, hogy ne legyen adatszivárgás.
Hasonló problémával egyébként több vállalat is küzdhet, hiszen a vezetés rendszerint nincs tisztában azzal, mit művelnek programozóik a GitHub-on. Jó példa erre, hogy akadémiai kutatók nemrégiben 100 000-nél is több olyan publikus kódgyűjteményt találtak, amelyek kriptografikus kulcsokat, illetve egyéb kényes titkokat rejtenek.
