业务云原生架构、推荐系统以及线上生活等热点方向的高可用高性能业务架构有哪些?点击了解 了解详情
写点什么

微软、华为海思、小米等全球 50 家知名企业内部源代码批量外泄,现已可公开访问

2020 年 7 月 29 日

微软、华为海思、小米等全球50家知名企业内部源代码批量外泄,现已可公开访问

“失去对互联网源代码的控制,就像把银行的设计蓝图交给劫匪一样。”


由于基础设施配置错误,来自多个领域包括科技、金融、零售、食品、电子商务以及制造业的数十家企业的源代码通过一套公共 repo 被批量公开。


此次泄露的源代码来自微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为所有)、联发科、GE 家电、小米、任天堂、Roblox、迪士尼以及江森自控等知名企业。


大量源代码的 公开 使人们得以深入了解 这 些企业的产品,同时也让网络攻击者与恶意人士更轻松地收集其中包含的机密信息。


相关漏洞由开发人员兼逆向工程师 Tillie Kottmann 收集完成,除了现成来源之外,他自己也找到不少 DevOps 工具中的配置错误( 可以通过 这些工具 访问 源代码)。


据报道,这些被标记为“绝密”及“保密/专有”的信息被 Kottmann 发布在在线 repo 管理平台 GitLab 之上,目前任何人皆可轻松访问。这位开发者甚至在自己的 Twitter 账户上公开发布了相关 repo 的链接。



不过随后 Kottmann 已经根据一些企业的要求删除了这些源代码。目前,repo 当中不再包含戴姆勒(梅赛德斯-奔驰的母公司)的泄露代码。 但从收到的 DMCA 通知数量(估计最多 7 份)以及法律或其他代表的直接联系情况来看,很多企业甚至还没意识到自己的代码已经外泄,所以安全威胁依然存在。


Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”



源码中存在很多不安全的编码方式

Kottmann 的服务器显示,部分代码来自金融科技公司 ( Fiserv, Buczy Payments, Mercury Trade Finance Solutions ) 、银行 ( Banca Nazionale del Lavoro ) 以及身份与访问管理 ( Pirean Access: One ) 与游戏开发商。


Kottmann 还特地指出,在这些易于访问的代码 repo 中有很多硬编码形式的凭证,并且他在 Twitter 上放出了部分 源代码截图




Kottmann 随后表示,他们在发布源代码之前曾经尝试删除直接保存在其中的硬编码凭证,这类凭证通常用于在程序中创建后门,以避免曝光更严重的安全漏洞。


这位开发者告诉媒体,“我已经尽力防止因发布源代码而直接引发任何重大问题。”但 这位开发者同时也承认,在发布代码之前,他并没有跟每一家受影响的企业取得联系。



Kottmann 还提到,他们愿意配合撤除要求,并为各企业提供用于增强基础设施安全性的建议。戴姆勒公司的代码已经被撤除,联想公司的对应文件夹中也是空空如也。但从收到的 DMCA 通知数量(估计最多 7 份)以及法律或其他代表的直接联系情况来看,很多企业甚至还没意识到自己的代码已经外泄。


还有一部分企业在知悉情况后,也并不打算撤除自己外泄的代码。 某家公司的开发人员只是简单表示自己很好奇,想知道 Kottmann 是怎么做到的,而且 觉得整件事“非常有趣”


威胁仍在

回顾 Kottmann 在 GitLab 服务器上公布的部分代码,可以看到某些项目此前就已经被原始开发者直接发布,或者已经很长时间没有进行过更新。


但 Kottmann 告诉媒体 ,目前 还 有不少企业 的 DevOps 工具中存在严重的配置错误,并直接导致源代码不慎流出。此外,他们还在批量搜索运行有 SonarQube 的服务器,SonarQube 是一套开源平台,主要用于自动代码审核与表述分析以识别各类 bug 与安全漏洞。


Kottmann 认为,目前成千上万的企业由于未能正确保护 SonarQube 而导致专有代码面临着外泄的风险。


在 Telegram 频道中,这位开发人员提供了关于其他安全漏洞的更多详细信息,其中还涉及在网上被称为“Gigaleak”的任天堂外泄代码。 此次任天堂源代码泄露,尤其受到游戏行业的关注。


我们可以在其代码中看到多款经典游戏的开发 repo(包含大量图形原型,具体涉及〈超级马力欧世界〉、被取消的〈塞尔达 2〉重制版、〈超级马力欧 64〉以及〈塞尔达传说:时之笛〉)。泄漏中甚至还包含了完全可玩的游戏原型。


正如安全专家 Jake Moore 在科技博客 Tom’s Guide 中所言,将源代码公开示众,会导致网络攻击者更容易窃取到企业内的机密信息。


Moore 强调称,“失去对互联网源代码的控制,就像把银行的设计蓝图交给劫匪一样。”“如果最终用户在企业之前发现自己的数据被泄露,这相当于在用户的伤口上撒盐。”


Synopsys 网络安全研究中心首席安全策略师 Tim Mackey 表示:“ 比如流行的 DevOps,DevSecOps 和 Configuration as Code,这些基础技术旨在促进分布式团队之间的协作,会将潜在的配置信息存储在代码存储库中,从而让黑客有机可乘。”


为防止源代码丢失,企业和相关组织应修改并持续监控其 DevOps 等软件的操作。


参考链接:


https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-2020-7


https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/


2020 年 7 月 29 日 11:465220

评论 1 条评论

发布
用户头像
"This user is blocked"
2020 年 08 月 03 日 14:31
回复
没有更多了
发现更多内容

华为云推UGO:一手抓结构迁移,一手抓SQL转换

华为云开发者社区

“大数据+区块链”的智慧城市建设!

CECBC区块链专委会

区块链 大数据

添加字幕哪个视频剪辑软件比较简单?

奈奈的杂社

视频创作 视频剪辑 视频后期 自媒体 后期字幕

环信和阿里云签署云原生合作,携手共建云通讯“新基建”

DT极客

你一定看得懂的Netty客户端启动源码分析!

云流

Java 编程 Netty 架构师

华为云IoT智简联接,开启物联世界新纪元

华为云开发者社区

物联网

从全备中恢复单库或单表,小心有坑!

Simon

MySQL MySQL 运维

(2)skynet ubuntu下载与安装

休比

支付平台架构技术实现之终端安全

博文视点Broadview

架构 安全攻防 安全 支付系统 风控

众盟科技2020智能化白皮书:穿越新商业周期,读懂商业智能化的真义

脑极体

揭示智能边缘重大机遇 英特尔邀产学研推动产业智能升级

商业资讯

分布式系统实践解读丨详解高内聚低耦合

华为云开发者社区

flutter 高效开发工具集

Daniel

一个线程池中的线程异常了,那么线程池会怎么处理这个线程?

Java架构师迁哥

阿里P8大牛的建议,工作1-5年的Java工程师如何让自己变得更值钱

Java架构之路

Java 编程 程序员 面试

架构师训练营第 1 期 第 1 周作业

李循律

Java 回调(Callback)接口学习使用

魏杰

海量数据拉升背后的成本困扰:存算分离成美图降本增效新良方

华为云开发者社区

大数据 华为云 海量数据

腾讯架构师:亲手Debug之后,你就知道为何面试问源码了

小Q

Java tomcat 程序员 架构 调优

新疆采风笔记:送行·出发·火车上

刘新吾

随笔 旅行 新疆

golang 表格编程降低圈复杂度

猴子胖胖

golang 表格开发

区块链用于支付手段只是开端

CECBC区块链专委会

区块链 金融

猛料!腾讯架构师手写“Java成长秘籍”,做开发也没那么难

互联网架构师小马

Java 编程 程序员 腾讯 软件开发

智谱AI首席科学家唐杰团队荣获国际数据挖掘顶会时间检验应用科学奖

DT极客

恶补,一文了解 8 种常见的数据结构

Java架构师迁哥

nginx 实现接口版本控制

lockdown56

php nginx laravel Nginx PHP-FPM 版本控制

深度解析物联网设备的区块链技术

CECBC区块链专委会

区块链 智能合约 物联网

时空碰撞优化系列·一

誓约·追光者

hive 数据分析 Sparksql 计算效率 优化

2020年程序员必备的面试重点+面试真题+个人软实力,你学废了吗?

Java架构师迁哥

Java引入第三方包的路径问题

谷鱼

路径

2020大厂面试一道高频Spring题,90%的Java开发者都拜倒在它脚下!

Java架构师迁哥

openEuler Developer Day 2021

openEuler Developer Day 2021

微软、华为海思、小米等全球50家知名企业内部源代码批量外泄,现已可公开访问-InfoQ