微軟、海思、任天堂等50多家知名公司源代碼泄露，人人可公開(kāi)訪問(wèn)

魚羊 2020-07-30 13:11:39 來(lái)源：量子位

魚羊 編譯整理
量子位 報(bào)道 | 公眾號(hào) QbitAI

50多家知名公司內(nèi)部源代碼已經(jīng)在線泄露。

Adobe、微軟、迪士尼、AMD、高通、海思、小米、任天堂……均在名單之中，橫跨技術(shù)、金融、零售等諸多領(lǐng)域。

并且，黑客還把這些代碼都發(fā)布在了GitLab上，任何人都可以訪問(wèn)。

沒(méi)錯(cuò)，就是那家全球第二大開(kāi)源代碼托管平臺(tái)，谷歌重金投資加持的開(kāi)源獨(dú)角獸。

「隱秘的內(nèi)部代碼」，是如何泄露的？

這些泄露的代碼由瑞士黑客Tillie Kottamann收集。

據(jù)專注于銀行業(yè)安全的Bank Security統(tǒng)計(jì)，其GitLab公開(kāi)存儲(chǔ)庫(kù)中有50多家公司的相關(guān)源代碼。

其中一家涉事公司teamapt隨即進(jìn)行了調(diào)查，發(fā)現(xiàn)他們泄露的代碼主要是駐留在靜態(tài)代碼分析工具上的代碼快照。

△ Kottamann公開(kāi)的一段銀行軟件代碼

該公司聲明，這些代碼中不包含敏感數(shù)據(jù)，不會(huì)對(duì)客戶構(gòu)成安全風(fēng)險(xiǎn)。

Tillie Kottamann也對(duì)技術(shù)網(wǎng)站BLeeping Computer表示，這個(gè)公開(kāi)存儲(chǔ)庫(kù)中很多源代碼暴露的原因，是其公司使用了配置錯(cuò)誤的DevOps工具。

另外，他們也對(duì)開(kāi)源平臺(tái)SonarQube的服務(wù)器進(jìn)行了探索。

SonarQube能夠自動(dòng)代碼審核和靜態(tài)分析服務(wù)，以幫助開(kāi)發(fā)者發(fā)現(xiàn)代碼錯(cuò)誤和安全漏洞。

Kottamann指出，有成千上萬(wàn)的公司因未能妥善確保SonarQube的安全使用，而招致暴露專有代碼的風(fēng)險(xiǎn)。

另外，在其Telegram頻道中，Kottamann還提供了有關(guān)其他安全漏洞的詳細(xì)信息，包括被稱作Gigaleak的任天堂外泄代碼——含有《超級(jí)馬力歐世界》、《塞爾達(dá)傳說(shuō)：時(shí)之笛》等經(jīng)典游戲信息。

部分含有硬編碼認(rèn)證憑據(jù)，黑客：會(huì)先刪掉

任天堂外泄的代碼也引發(fā)了游戲界的關(guān)注。

網(wǎng)絡(luò)安全專家、知名電腦安全軟件公司ESET發(fā)言人Jake Moore就指出：

源代碼的公開(kāi)，可能會(huì)導(dǎo)致網(wǎng)絡(luò)攻擊者更容易竊取到公司內(nèi)部的機(jī)密信息。

而B(niǎo)ank Security也表示，這些源代碼里有一部分會(huì)包含硬編碼的認(rèn)證憑據(jù)。

這就相當(dāng)于把你家大門的鑰匙丟到了攻擊者面前，攻擊者拿到硬編碼的認(rèn)證憑據(jù)后攻擊成本會(huì)更低。

對(duì)此， Kottamann做出回應(yīng)稱，他們?cè)诎l(fā)布這些代碼時(shí)，盡量排查并刪除了其中存儲(chǔ)的硬編碼認(rèn)證憑據(jù)，以防止直接對(duì)這些公司造成傷害，引起更大的破壞。

不過(guò)，他也承認(rèn)，在公布這些代碼之前，他們并不總事先與受影響的公司通氣。

戴勒姆要求刪除，也有人不在意

Kottmann還對(duì)Bleeping Computer表示，如果公司要求刪除代碼，他們?cè)敢饨邮?，并?lè)意提供能夠幫助這些公司增強(qiáng)基礎(chǔ)架構(gòu)安全性的信息。

比如，現(xiàn)在存儲(chǔ)庫(kù)中就不再存有奔馳母公司戴勒姆的外泄代碼。

但也有一些知道自家代碼泄漏的企業(yè)并沒(méi)有要求撤下代碼。他們比較關(guān)心Kottmann是如何獲取了這些代碼，并表示這“很有趣”。

另外，Kottmann指出，從收到的DMCA刪除通知數(shù)量，以及這些公司的代表同他直接聯(lián)系的數(shù)量來(lái)看，目前一些公司可能尚不知曉其源代碼已經(jīng)泄露。

最后，附上Bank Security統(tǒng)計(jì)的完整名單。

• Johnson Controls
• iLendx
• Banca Nazionale del Lavoro
• Lenovo-smart-display-7
• Adobe
• Fastspring
• GE Appliances
• Mercury TFS
• GovCloudRecords
• MyDesktop
• eMasurematics
• Buckzy
• TeamApt
• Alpha FX
• Covid Apps
• Romeo Power
• Digital Health Department
• DRO Health
• Elgin Industries
• Berkeley Lights
• Pwnee Studios
• NYNJA
• Tapway
• BlocPower
• Capital Technology Services
• Lenovo
• AMI
• insyde
• Erobbing
• KaiOS
• AMD
• Chenyee / Gionee
• Disney
• Mineplex
• Daimler
• Rockchip
• HiSilicon
• Aukey
• Chunmi
• Xiaomi’s Kitchen Appliance Subsidiary
• PUKKA
• Roblox Corporation
• Microsoft
• Motorola
• Qualcomm
• Mediatek
• Bahwan CyberTek
• CryptoSoul
• gms
• ReactMobile
• ЦЭККМП
• Tactical Electronics
• Siasun

參考鏈接：
https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/
https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-2020-7

Official Statement On Source Code leak

https://pastebin.com/aAnaLgS8

— 完 —