Хакерская группировка Everest заявила о краже части исходного кода, связанного с программным обеспечением камер смартфонов Asus. Несмотря на громкое заявление, в самой компании уточнили, что атака затронула не её внутренние ресурсы, а инфраструктуру одного из поставщиков. В Asus говорят, что никаких последствий для готовой продукции, внутренних систем и пользовательских данных зафиксировано не было.
По официальной позиции бренда, инцидент носил ограниченный характер. В компании сообщили, что уязвимость возникла на стороне стороннего подрядчика, и она коснулась лишь фрагмента программной части, связанной с камерами мобильных устройств.
При этом в Asus уверяют, что вся остальная цифровая экосистема, в том числе пользовательские сервисы и внутренние платформы, продолжает функционировать в штатном режиме. Компания акцентировала внимание на том, что продолжит совершенствовать защиту цепочки поставок, ориентируясь на актуальные стандарты кибербезопасности.
Эксперты отмечают, что вопросы безопасности цепочек поставок в последние годы приобретают всё большее значение, особенно в условиях глобального распределения производственных процессов. Почти все современные устройства состоят из компонентов, произведённых десятками компаний по всему миру, и любая слабость на любом участке этой цепочки может привести к серьёзным последствиям. Как напоминание об этом — недавнее обновление рейтинга угроз проекта Open Web Application Security Project, в которое вошли сбои в программных поставках как одна из главных уязвимостей для веб-приложений.
Инцидент с поставщиком произошёл спустя короткое время после другого события. Asus представила обновлённую прошивку для своих маршрутизаторов, в которую вошли исправления для 9 уязвимостей, среди которых была одна критическая. Несмотря на то, что подобные недочёты регулярно выявляются и в продукции других брендов, специалисты по безопасности уточняют, что важно не наличие уязвимостей, а скорость и эффективность их устранения.