50多(duō)家知名公司内部源代碼已經在線洩露。

Adobe、微軟、迪士尼、AMD、高(gāo)通(tōng)、海思、小米、任天堂……均在名單之中，橫跨技術、金融、零售等諸多(duō)領域。

并且，黑(hēi)客還(hái)把這(zhè)些代碼都發布在了(le)GitLab上，任何人(rén)都可(kě)以訪問。

沒錯，就是那家全球第二大(dà)開源代碼托管平台，谷歌(gē)重金投資加持的(de)開源獨角獸。

「隐秘的(de)内部代碼」，是如何洩露的(de)？

這(zhè)些洩露的(de)代碼由瑞士黑(hēi)客Tillie Kottamann收集。

據專注于銀行業安全的(de)Bank Security統計，其GitLab公開存儲庫中有50多(duō)家公司的(de)相關源代碼。

其中一家涉事公司teamapt随即進行了(le)調查，發現他(tā)們洩露的(de)代碼主要是駐留在靜态代碼分(fēn)析工具上的(de)代碼快(kuài)照(zhào)。

 

 

△ Kottamann公開的(de)一段銀行軟件代碼

該公司聲明(míng)，這(zhè)些代碼中不包含敏感數據，不會對(duì)客戶構成安全風險。

Tillie Kottamann也(yě)對(duì)技術網站BLeeping Computer表示，這(zhè)個(gè)公開存儲庫中很多(duō)源代碼暴露的(de)原因，是其公司使用(yòng)了(le)配置錯誤的(de)DevOps工具。

另外，他(tā)們也(yě)對(duì)開源平台SonarQube的(de)服務器進行了(le)探索。

SonarQube能夠自動代碼審核和(hé)靜态分(fēn)析服務，以幫助開發者發現代碼錯誤和(hé)安全漏洞。

Kottamann指出，有成千上萬的(de)公司因未能妥善确保SonarQube的(de)安全使用(yòng)，而招緻暴露專有代碼的(de)風險。

另外，在其Telegram頻(pín)道中，Kottamann還(hái)提供了(le)有關其他(tā)安全漏洞的(de)詳細信息，包括被稱作Gigaleak的(de)任天堂外洩代碼——含有《超級馬力歐世界》、《塞爾達傳說：時(shí)之笛》等經典遊戲信息。

部分(fēn)含有硬編碼認證憑據，黑(hēi)客：會先删掉

任天堂外洩的(de)代碼也(yě)引發了(le)遊戲界的(de)關注。

網絡安全專家、知名電腦(nǎo)安全軟件公司ESET發言人(rén)Jake Moore就指出：

源代碼的(de)公開，可(kě)能會導緻網絡攻擊者更容易竊取到公司内部的(de)機密信息。

而Bank Security也(yě)表示，這(zhè)些源代碼裏有一部分(fēn)會包含硬編碼的(de)認證憑據。

這(zhè)就相當于把你家大(dà)門的(de)鑰匙丢到了(le)攻擊者面前，攻擊者拿到硬編碼的(de)認證憑據後攻擊成本會更低。

對(duì)此， Kottamann做(zuò)出回應稱，他(tā)們在發布這(zhè)些代碼時(shí)，盡量排查并删除了(le)其中存儲的(de)硬編碼認證憑據，以防止直接對(duì)這(zhè)些公司造成傷害，引起更大(dà)的(de)破壞。

不過，他(tā)也(yě)承認，在公布這(zhè)些代碼之前，他(tā)們并不總事先與受影(yǐng)響的(de)公司通(tōng)氣。

戴勒姆要求删除，也(yě)有人(rén)不在意

Kottmann還(hái)對(duì)Bleeping Computer表示，如果公司要求删除代碼，他(tā)們願意接受，并樂(yuè)意提供能夠幫助這(zhè)些公司增強基礎架構安全性的(de)信息。

比如，現在存儲庫中就不再存有奔馳母公司戴勒姆的(de)外洩代碼。

但也(yě)有一些知道自家代碼洩漏的(de)企業并沒有要求撤下(xià)代碼。他(tā)們比較關心Kottmann是如何獲取了(le)這(zhè)些代碼，并表示這(zhè)“很有趣”。

另外，Kottmann指出，從收到的(de)DMCA删除通(tōng)知數量，以及這(zhè)些公司的(de)代表同他(tā)直接聯系的(de)數量來(lái)看，目前一些公司可(kě)能尚不知曉其源代碼已經洩露。

最後，附上Bank Security統計的(de)完整名單。

Johnson Controls

iLendx

Banca Nazionale del Lavoro

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo

AMI

insyde

Erobbing

KaiOS

AMD

Chenyee / Gionee

Disney

Mineplex

Daimler

Rockchip

HiSilicon

Aukey

Chunmi

Xiaomi's Kitchen Appliance Subsidiary

PUKKA

Roblox Corporation

Microsoft

Motorola

Qualcomm

Mediatek

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun