华为海思、微软、AMD 等50家公司的源代码惊现在网上,由于基础架构配置不当,众多行业领域(技术、金融、零售、食品、电子商务和制造业)的五十家公司的代码存储库对外泄露,源代码唾手可得。
一个泄露代码的公共存储库包括微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为旗下)、联发科技、通用家电、任天堂、Roblox、迪士尼和江森自控等知名公司,而且这份名单越来越长。
泄露的这些源代码是开发人员兼逆向工程师Tillie Kottmann从各个来源收集的,他们在搜寻可访问源代码的配置不当的devops工具的过程中也发现了部分源代码。
这些泄露的源代码中很大一部分就在GitLab上的一个公共存储库中,这些源代码标有“机密”或更贴切的“机密及专有”的名称。
据专注于银行威胁和欺诈的研究人员Bank Security声称,来自50多家公司的代码发布在该存储库中。不过,并非所有文件夹都填满了内容,但是这名研究人员称在一些情况下还有登录信息。
Kottmann的服务器显示了来自多家金融科技公司(Fiserv、Buczy Payments和Mercury Trade Finance Solutions)、银行(意大利国家劳工银行)、身份及访问管理开发商(Pirean Access:One)以及游戏的代码。
Kottmann告诉安全外媒BleepingComputer,他们在这个易于访问的代码存储库中找到了硬编码的登录信息,他们试图尽可能地删除登录信息,以防造成直接危害,并避免以任何方式造成更严重的泄露。
Kottmann称:“我在尽力防止我发布的代码直接导致任何重大问题。”
这名开发人员承认,在发布代码之前,他们并非总是与受影响的公司取得联系,不过他们已竭尽全力,尽量减小发布代码带来的负面影响。
其他人参与了这个项目,直接或间接地帮助泄露了代码,或者在不是很知情的情况下帮助Kottmann更好地了解所发现代码的性质。
Kottmann还表示,他们应要求撤下了代码,并乐意提供可加强公司基础架构安全性的信息。存储库中不再有梅塞德斯-奔驰旗下戴姆勒公司泄漏的一份代码。另一个空文件夹中带有Lenovo(联想)的名称。
不过从收到的《数字千年版权法案》(DMCA)删除通知数量(估计最多7份)以及法律代表或其他代表的直接联系人来看,许多公司可能对泄漏不知情。
一些注意到代码公开的企业懒得删除代码。至少有这么一例,一家公司的几名开发人员只是想知道Kottmann是如何获得代码的,并没有要求撤下代码。
查看在Kottmann的GitLab服务器上泄漏的一些代码后可发现,一些项目已由原始开发人员公开发布,或者上一次更新在很久以前。
不过这名开发人员称,更多的公司使用配置不当的devops工具,泄露了源代码。此外,他们在分析运行SonarQube的服务器以发掘各种bug和安全漏洞,SonarQube是一种开源平台,用于自动化代码审核和静态分析。
Kottmann认为,成千上万家公司因未合理保护安装的SonarQube系统而泄露了专有代码。
在Telegram频道中,这名开发人员提供了有关其他公司泄露的详细信息,包括名为“特大泄露”(Gigaleak)的任天堂泄露,其中包含多款经典游戏(《超级马里奥世界》、已取消的《塞尔达传说2》重制版、《超级马里奥64》和《塞尔达传说:时之笛》)的源代码和开发存储库(大量图形原型)。
尚不清楚Kottmann服务器上有多少代码是专有代码。