【AICon 全球人工智能与大模型开发与应用大会】改变 AI 时代下写代码的模式 >>> 了解详情
写点什么

微软、华为海思、小米等全球 50 家知名企业内部源代码批量外泄,现已可公开访问

  • 2020-07-29
  • 本文字数:1955 字

    阅读完需:约 6 分钟

微软、华为海思、小米等全球50家知名企业内部源代码批量外泄,现已可公开访问

“失去对互联网源代码的控制,就像把银行的设计蓝图交给劫匪一样。”


由于基础设施配置错误,来自多个领域包括科技、金融、零售、食品、电子商务以及制造业的数十家企业的源代码通过一套公共 repo 被批量公开。


此次泄露的源代码来自微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为所有)、联发科、GE 家电、小米、任天堂、Roblox、迪士尼以及江森自控等知名企业。


大量源代码的 公开 使人们得以深入了解 这 些企业的产品,同时也让网络攻击者与恶意人士更轻松地收集其中包含的机密信息。


相关漏洞由开发人员兼逆向工程师 Tillie Kottmann 收集完成,除了现成来源之外,他自己也找到不少 DevOps 工具中的配置错误( 可以通过 这些工具 访问 源代码)。


据报道,这些被标记为“绝密”及“保密/专有”的信息被 Kottmann 发布在在线 repo 管理平台 GitLab 之上,目前任何人皆可轻松访问。这位开发者甚至在自己的 Twitter 账户上公开发布了相关 repo 的链接。



不过随后 Kottmann 已经根据一些企业的要求删除了这些源代码。目前,repo 当中不再包含戴姆勒(梅赛德斯-奔驰的母公司)的泄露代码。 但从收到的 DMCA 通知数量(估计最多 7 份)以及法律或其他代表的直接联系情况来看,很多企业甚至还没意识到自己的代码已经外泄,所以安全威胁依然存在。


Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”


源码中存在很多不安全的编码方式

Kottmann 的服务器显示,部分代码来自金融科技公司 ( Fiserv, Buczy Payments, Mercury Trade Finance Solutions ) 、银行 ( Banca Nazionale del Lavoro ) 以及身份与访问管理 ( Pirean Access: One ) 与游戏开发商。


Kottmann 还特地指出,在这些易于访问的代码 repo 中有很多硬编码形式的凭证,并且他在 Twitter 上放出了部分 源代码截图




Kottmann 随后表示,他们在发布源代码之前曾经尝试删除直接保存在其中的硬编码凭证,这类凭证通常用于在程序中创建后门,以避免曝光更严重的安全漏洞。


这位开发者告诉媒体,“我已经尽力防止因发布源代码而直接引发任何重大问题。”但 这位开发者同时也承认,在发布代码之前,他并没有跟每一家受影响的企业取得联系。



Kottmann 还提到,他们愿意配合撤除要求,并为各企业提供用于增强基础设施安全性的建议。戴姆勒公司的代码已经被撤除,联想公司的对应文件夹中也是空空如也。但从收到的 DMCA 通知数量(估计最多 7 份)以及法律或其他代表的直接联系情况来看,很多企业甚至还没意识到自己的代码已经外泄。


还有一部分企业在知悉情况后,也并不打算撤除自己外泄的代码。 某家公司的开发人员只是简单表示自己很好奇,想知道 Kottmann 是怎么做到的,而且 觉得整件事“非常有趣”

威胁仍在

回顾 Kottmann 在 GitLab 服务器上公布的部分代码,可以看到某些项目此前就已经被原始开发者直接发布,或者已经很长时间没有进行过更新。


但 Kottmann 告诉媒体 ,目前 还 有不少企业 的 DevOps 工具中存在严重的配置错误,并直接导致源代码不慎流出。此外,他们还在批量搜索运行有 SonarQube 的服务器,SonarQube 是一套开源平台,主要用于自动代码审核与表述分析以识别各类 bug 与安全漏洞。


Kottmann 认为,目前成千上万的企业由于未能正确保护 SonarQube 而导致专有代码面临着外泄的风险。


在 Telegram 频道中,这位开发人员提供了关于其他安全漏洞的更多详细信息,其中还涉及在网上被称为“Gigaleak”的任天堂外泄代码。 此次任天堂源代码泄露,尤其受到游戏行业的关注。


我们可以在其代码中看到多款经典游戏的开发 repo(包含大量图形原型,具体涉及〈超级马力欧世界〉、被取消的〈塞尔达 2〉重制版、〈超级马力欧 64〉以及〈塞尔达传说:时之笛〉)。泄漏中甚至还包含了完全可玩的游戏原型。


正如安全专家 Jake Moore 在科技博客 Tom’s Guide 中所言,将源代码公开示众,会导致网络攻击者更容易窃取到企业内的机密信息。


Moore 强调称,“失去对互联网源代码的控制,就像把银行的设计蓝图交给劫匪一样。”“如果最终用户在企业之前发现自己的数据被泄露,这相当于在用户的伤口上撒盐。”


Synopsys 网络安全研究中心首席安全策略师 Tim Mackey 表示:“ 比如流行的 DevOps,DevSecOps 和 Configuration as Code,这些基础技术旨在促进分布式团队之间的协作,会将潜在的配置信息存储在代码存储库中,从而让黑客有机可乘。”


为防止源代码丢失,企业和相关组织应修改并持续监控其 DevOps 等软件的操作。


参考链接:


https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-2020-7


https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/


2020-07-29 11:465732

评论 1 条评论

发布
用户头像
"This user is blocked"
2020-08-03 14:31
回复
没有更多了
发现更多内容

上海·得物技术沙龙「安全专场」开启报名啦!快来查收你的技术安全白皮书

得物技术

活动

KubeVela 为 CNCF 孵化器带来软件交付控制平面能力

阿里巴巴中间件

阿里云 开源 云原生 KubeVela

大模型落地比趋势更重要,NLP+金融如何看得见、摸得着?

脑极体

AI金融

2022年总结之 禅道团队成长篇

禅道项目管理

如何手写一个SpringBoot starter组件

做梦都在改BUG

架构训练营模块八作业

gigifrog

架构训练营

低代码开发,一场深度的IT效率革命

引迈信息

前端 软件开发 低代码 JNPF

用友BIP推动大型企业财务从“价值反映和守护”走向“价值发掘和创造”

用友BIP

智能会计 价值财务

平庸的恐惧,就业的烦恼——致互联网人进退两难的35岁!

禅道项目管理

零基础自学黑客/渗透/网络安全必备知识(详细版),啃完这些足够了

网络安全学海

黑客 网络安全 安全 信息安全 渗透测试

全球使用率最高的五款3DMax插件,总有一款适合你

Finovy Cloud

软件 3ds Max

稳定可靠安全无忧,华为云发布代码托管服务CodeArts Repo

科技怪授

运维训练营第18周作业

好吃不贵

软件测试/测试开发丨app自动化测试之Appium 原理 与 JsonWP 协议分析

测试人

软件测试 自动化测试 测试开发 appium

2022年总结之 禅道团队扩张篇

禅道项目管理

“中国软件杯”重磅预告!首批百度赛题即将发布

飞桨PaddlePaddle

ClickHouse为什么这么快

数新网络官方账号

Clickhouse

成年人自学黑客,远比你想的更难......

喀拉峻

程序员 黑客 网络安全 计算机 渗透测试

当 GIS 遇到数字化转型|阿里云产业智能

云布道师

GIS 数字化转型

Kruise Rollout v0.3.0:教你玩转 Deployment 分批发布和流量灰度

阿里巴巴中间件

阿里云 云原生 OpenKruise

提升数据中心竞争力、公信力-CQC数据中心运维认证

中国IDC圈

认证 #运维

8设计消息队列存储消息数据的 MySQL

KING

智能控制 | AIRIOT智慧楼宇管理解决方案

AIRIOT

物联网 智慧楼宇

架构训练营 - 模块七作业

Sam

架构实战营

链上衍生品赛道成新趋势,Protradex生态成首要推动者

股市老人

软件测试/测试开发丨app自动化测试之Appium问题分析及定位

测试人

软件测试 自动化测试 测试开发 appium

《2023产业互联网安全十大趋势》发布,研判产业安全新趋势

Geek_2d6073

混合多云第二课——混合技术如何每年为京东节省上亿元成本?

京东科技开发者

云原生 混合云 混合多云

用友BIP丨事项会计,助力企业跻身世界一流

用友BIP

告别“公厕”脏乱差,光明源智慧公厕推进城市智慧化建设

光明源智慧厕所

智慧城市

GameFi游戏NFT链游开发系统搭建技术

薇電13242772558

NFT

微软、华为海思、小米等全球50家知名企业内部源代码批量外泄,现已可公开访问_服务革新_核子可乐_InfoQ精选文章