由于基础设施的错误配置,导致数十家公司的源代码泄露,涵盖科技、金融、零售、食品、电商和制造业。泄露代码的公开库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、Mediatek、通用、任天堂、Roblox、迪斯尼、强生等,而且泄露列表仍在更新中。
来自瑞士的开发者 Tillie Kottmann 通过各类第三方源收集到了这些漏洞,他自己也找到了不少 DevOps 工具中的配置错误,而这些工具可以用来访问源代码。
遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。
Kottmann的服务器还显示有来自金融科技公司(Fiserv,Buczy Payments,Mercury Trade Finance Solutions),银行(Banca Nazionale del Lavoro),身份和访问管理开发人员(Pirean Access:One)和游戏公司的代码。
根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证——一种创建后门的方式。
Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。
目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann 表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。
事实上,从收到的 DMCA 通知数量(估计至多 7 份)和法律代表等的联系来看,许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思,甚至有公司觉得“挺有趣”,只想知道 Kottmann 是如何获得代码的。
威胁仍在
此次泄露的代码中,有一些项目早已由其原始开发者公开发布过,或是已经有很长时间不再更新和维护。网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。
Kottmann认为,目前成千上万的企业因为未能正确保护SonarQube而导致专有代码面临着外泄的风险。
在Telegram上,这位开发人员提供了关于其他安全漏洞的更多详细信息,其中还涉及在网上被称为“Gigaleak”的任天堂外泄代码。此次任天堂源代码泄露,尤其受到游戏行业的关注。
尽管如此,这样大规模的泄露事件原因还是值得引起注意。许多公司使用错误的 DevOps 工具配置,引发源码暴露。Kottmann 及其团队近期正在探索运行 SonarQube 的服务器,他们发现,有成千上万的公司由于未能正确保护 SonarQube 安装而暴露了源码。
对于泄露源码的行为,安全专家 Jake Moore 对科技网站 Tom's Guide 表示,“失去对源代码的控制就像将银行蓝图交给抢劫犯一样……受影响的网站应立即采取保护措施……若用户在公司之前发现自己的数据遭到泄露,那无疑是在伤口上撒盐”。
基于法律层面,Kolochenko 认为源码发布者可能会因侵犯版权或违反计算机法而被起诉,但通常大型公司不会上诉,他们宁愿从存储库中快速删除源代码并修复其内部 DevOps 安全流程。
为此,Kolochenko 建议“企业应修改并持续监控 DevOps 操作,将其转换为敏捷的 DevSecOps”。
目前还不清楚Kottmann的服务器上有哪些代码,是专用的或应该保密的。BleepingComputer已与被列出的许多公司联系为防止源代码丢失,企业和相关组织应修改并持续监控其DevOps等软件的操作。
图文来源:bleepingcomputer
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:bleepingcomputer
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照