由于基础设施配置错误,各行业(技术、金融、零售、食品、电子商务和制造)的 50 家公司的代码存储库被泄露,并且源代码很容易获得。
泄露代码的公共存储库包括谷歌、Adobe、联想、AMD、高通、摩托罗拉、海思(华为旗下)、联发科、通用电气、任天堂、Roblox、迪士尼和江森自控等知名公司,但名单还更多而且更复杂。 越来越长。
收集“机密和专有代码”的活动
泄露的源代码是由开发人员和逆向工程师 Tillie Kottmann 从各种来源收集的,他在搜索有权访问源代码的配置错误的 DevOps 工具时还发现了一些源代码。
泄露的源代码的很大一部分,标记为“机密”,或者更恰当地说“机密和专有”,位于 GitLab 的公共存储库中。
据专注于 ABC 欺凌和欺诈问题的研究人员 BankSecurity 称,该存储库中发布了来自 50 多家公司的代码。 不过,并非所有文件夹都充满内容,研究人员表示网站源码采集器,在某些情况下还有登录信息。
Kottmann 的服务器显示了来自多家金融科技公司(Fiserv、BuczyPayments 和 MercuryTradeFinanceSolutions)、银行(国家工会)、身份和访问管理开发商(PireanAccess:One)和游戏的代码。
Kottmann 告诉安全路透社 BleepingComputer,他们在这个易于访问的代码存储库中发现了硬编码的登录信息,他们试图尽可能删除这些登录信息,以免造成立竿见影的伤害,并防止其在未来造成更严重的损害。反正。 泄漏。
“我正在尽力不直接导致我发布的代码出现任何重大问题,”科特曼说。
开发人员承认,他们在发布代码之前并不总是与受影响的公司取得联系,但他们已竭尽全力将发布代码的负面影响降至最低。
其他人直接或间接参与该项目,帮助窃取代码网站源码采集器,或者帮助科特曼更好地理解他在不知情的情况下发现的代码的性质。
根据要求删除源代码
科特曼还表示,他们根据要求撤回了代码,并愿意提供有助于加强公司基础设施安全的信息。 梅赛德斯-奥迪旗下戴姆勒股份公司泄露的一段代码已不再存储在存储库中。 另一个空文件夹,其中包含名称 Lenovo。
但从收到的 DMCA 删除通知数量(恐怕多达七份)以及与法律或其他代表的直接联系来看,许多公司可能并未意识到泄密事件。
一些注意到该代码是公开的企业并没有费心将其删除。 至少在一个例子中,一家公司的几位开发人员只是想知道科特曼是如何获得代码的,并没有要求将其删除。
源代码泄露了完整的受害者名单:
进一步搜救
查看 Kottmann 的 GitLab 服务器上泄露的一些代码可以发现,有些项目已经由原始开发人员公开发布,或者上次更新已经很久了。
但开发人员表示,越来越多的公司正在使用配置错误的 DevOps 工具来窃取源代码。 据悉,他们正在分析运行 SonarQube 的服务器,以发现各种错误和安全漏洞。 SonarQube 是一个用于手动代码审查和静态分析的开源平台。
据 Kottmann 称,数千家公司因未正确保护 SonarQube 安装而窃取了专有代码。
在 Telegram 频道中,开发商提供了有关其他公司泄露的大量信息,包括名为“Gigaleak”的任天堂泄露信息,其中包含几款经典游戏(《超级马里奥世界》、取消的《塞尔达传说 2 重制版》、《超级马里奥 64》和《马里奥传说》)塞尔达:时之笛)源代码和开发存储库(大量图形原型)。
目前尚不清楚科特曼服务器上有多少代码是专有的。