hisilicon 微软、华为海思、小米等全球50家知名企业内部源代码批量外泄 现已可公开访问

栏目:国内 2021-12-05 12:26:37
分享到:

编译|核可乐,蒂娜

“失去对互联网源代码的控制,就像把银行的设计蓝图交给了劫匪。”

由于基础设施配置错误,科技、金融、零售、食品、电商、制造等多个领域数十家企业的源代码通过一套公开回购批量发布。

泄露的源代码来自微软、Adobe、联想、AMD、高通、摩托罗拉、海思立信、联发科、GE家电、小米、任天堂、Roblox、迪士尼、江森自控等知名企业。

大量源代码的泄露,让人们对这些企业的产品有了深刻的了解,同时也让网络攻击者和恶意者更容易收集其中包含的机密信息。

相关的漏洞是由开发人员和逆向工程师蒂莉·科特曼收集的。除了现成的来源,他还在DevOps工具中发现了很多配置错误。

据报道,标有“绝密”和“机密/专有”的信息是Kottmann在在线回购管理平台GitLab上发布的,目前任何人都可以轻松访问。这位开发者甚至在他的推特账户上公开发布了回购的链接。

但是Kottmann根据一些企业的要求删除了这些源代码。目前回购不再包含戴姆勒泄露的代码。然而,从收到的DMCA通知数量和法律或其他代表的直接联系来看,许多企业甚至没有意识到他们的代码已经被泄露,因此安全威胁仍然存在。

科特曼的推特账户简介写道,“你的源代码可能在这里被泄露。”该账号最上面的推文是一个众包帖子,问“你认为哪些最应该向公众披露,机密信息、文档、二进制文件和源代码……”

源代码中有很多不安全的编码方法

Kottmann的服务器显示,一些代码来自金融科技公司、银行以及身份和访问管理和游戏开发商。

科特曼还指出,在这些易于访问的代码repo中有许多硬编码的凭证,他在推特上发布了一些源代码的截图。

Kottmann后来表示,他们在发布之前曾试图删除直接存储在源代码中的硬编码凭证,这类凭证通常用于在程序中创建后门,以避免暴露更严重的安全漏洞。

开发人员告诉媒体,“我已经尽了最大努力来防止任何因源代码发布而直接导致的重大问题。”但开发人员也承认,在发布代码之前,他没有联系过每一个受影响的企业。

科特曼还提到,他们愿意配合拆迁要求,为企业提升基础设施安全提供建议。戴姆勒公司的代码已经删除,联想公司对应的文件夹也是空空。然而,从收到的DMCA通知数量以及法律或其他代表之间的直接联系来看,许多企业甚至没有意识到他们的代码已经被泄露。

也有一些企业在了解情况后,不打算删除自己泄露的代码。一家公司的开发人员只是说他很好奇,想知道科特曼是怎么做到的,觉得整件事“很有意思”。

威胁依然存在

回看Kottmann在GitLab服务器上发布的一些代码,可以看到有些项目之前是由原开发者直接发布的,或者是很久没有更新了。

不过,Kottmann对媒体表示,很多企业的DevOps工具存在严重的配置错误,直接导致源代码不慎流出。此外,他们还在批量搜索运行SonarQube的服务器。SonarQube是一个开源平台,主要用于自动代码审查和表达式分析,以识别各种bug和安全漏洞。

科特曼认为,成千上万的企业正面临着专有代码泄露的风险,因为它们未能妥善保护SonarQube。

在Telegram频道上,开发者提供了更多关于其他安全漏洞的详细信息,包括任天堂在互联网上泄露的名为“Gigaleak”的代码。这次任天堂源代码泄露尤其受到游戏行业的关注。

我们可以在其代码中看到几款经典游戏的开发报告。

正如安全专家杰克·摩尔在《汤姆指南》中所说,公开源代码将使网络攻击者更容易窃取企业的机密信息。

摩尔强调,“失去对互联网源代码的控制就像把银行的设计蓝图交给了劫匪。”“如果终端用户发现自己的数据先于企业泄露,这就相当于在用户伤口上撒盐。”

银行安全部门在帕斯捷宾上公布了一份受影响公司的完整名单。

附件:源代码泄露受害者完整名单:

江森自控

iLendx

拉沃罗国家银行

联想-智能显示器-7

砖坯黏土

快速弹簧

通用电器

水星TFS

GovCloudRecords

我的桌面

电子邮件软件

巴克西

TeamApt

Alpha FX

Covid应用程序

罗密欧的力量

数字健康部

DRO健康

埃尔金工业公司

伯克利之光

Pwnee工作室

NYNJA

小吃道

blocppower

资本技术服务

联想

高级材料情报

系微

Erobbing /罗宾他们生产各种基于安卓系统的设备,比如数字录像机和法律

KaiOS

超微半导体公司

陈怡/乔尼

迪斯尼

需要正版

戴姆勒

岩屑

海狮

好视来

春蜜

小米的厨房电器子公司

纯良的

机器人公司

微软

摩托罗拉

高通公司

联发科

Bahwan CyberTek

密码灵魂

ReactMobile

ЦЭККМП

战术电子学

新松

参考

https://www . business insider . com/software-source-code-leased-Microsoft-Nintendo-2020-7

https://www . bleeping computer . com/news/security/源代码-来自数十家公司-泄露-在线/

今天的推荐