50 多家公司源代碼被泄露!微軟、AMD、華爲海思紛紛中招

50 多家公司源代碼被泄露!微軟、AMD、華爲海思紛紛中招

技術編輯:芒果果丨發自 思否編輯部
SegmentFault 思否報道丨公衆號:SegmentFaultsegmentfault

來自技術、金融、零售和其餘領域的 50 多家知名公司內部軟件源代碼泄露!安全

瑞士開發人員 Tillie Kottmann 從微軟、迪士尼、摩托羅拉、華爲海思等公司獲取了源代碼,併發布在 GitLab 上的公共在線存儲庫中,任何人均可以訪問該代碼。服務器

Tillie Kottmann 還在其 Twitter 帳戶上發佈了指向在線存儲庫的連接。網絡

50 多家公司代碼被泄露

50 多家公司代碼被泄露

泄漏代碼的公共存儲庫中包括微軟、Adobe、聯想、AMD、高通、摩托羅拉、華爲海思、聯發科技、GE家電、任天堂、Roblox、迪士尼、江森自控等知名公司,並且這個清單還在增加。架構

這些泄漏來自各類來源,也來自他們本身對配置錯誤的 Devops 工具的追捕,這些工具能夠訪問源代碼。併發

在 GitLab 上的公共存儲庫中能夠找到大量此類泄漏,這些泄漏的名稱爲「機密」,或者更貼切的標籤爲「機密和專有」。工具

據專一於銀行業威脅和欺詐的研究人員 Bank Security 稱,該信息庫中發佈了來自 50 多家公司的代碼。不過,並不是全部文件夾都已填充,可是研究人員說在某些狀況下還存在憑據。編碼

開發人員認可,在發佈代碼以前,他們並不老是與受影響的公司聯繫,可是他們努力將發佈所產生的負面影響最小化。Kottmann 說:「我會盡力防止發佈中直接致使的任何重大問題。」spa

image.png

公司使用錯誤的 Devops 工具暴露代碼

Kottmann 還表示,他們遵照移除要求,並樂意提供可加強公司基礎架構安全性的信息。可是,一些公司甚至可能沒有注意到其源代碼已被在線發佈。即便他們知道了,可能也不在意。一些注意到其代碼公開的企業不會費心將其刪除。至少在一個實例中,一家公司的幾名開發人員只是想知道 Kottmann 是如何得到代碼的,並無要求刪除代碼,反而認爲「頗有趣」。blog

Kottmann 稱,他們試圖在發佈硬編碼憑證以前從公司的源代碼中刪除這些硬編碼憑證,這些憑證一般用於建立後門程序,以避免發生更增強大的安全漏洞。

回顧在 Kottmann 的 GitLab 服務器上泄漏的一些代碼,能夠發現某些項目已由其原始開發人員公開發布,或者在好久之前進行了最後更新。

不過,開發人員表示,有更多公司使用錯誤的 Devops 工具配置了暴露源代碼的公司。此外,他們正在探索運行 SonarQube 的服務器,SonarQube 是一個開源平臺,用於自動代碼審覈和靜態分析,以發現錯誤和安全漏洞。

Kottmann 相信,有成千上萬的公司因爲未能正確保護 SonarQube 安裝而暴露了專有代碼。


正如安全專家 Jake Moore 所說,將源代碼提供給公衆查看能夠使網絡攻擊者更容易竊取公司的機密。

Jake Moore 說:「失去對互聯網源代碼的控制,就像把銀行的藍圖交給劫匪同樣。」

segmentfault公衆號

相關文章
相關標籤/搜索