來自技術(shù)、金融、零售和其他領(lǐng)域的 50 多家知名公司內(nèi)部軟件源代碼泄露!

[[335653]]

瑞士開發(fā)人員 Tillie Kottmann 從微軟、迪士尼、摩托羅拉、華為海思等公司獲取了源代碼，并發(fā)布在 GitLab 上的公共在線存儲(chǔ)庫中，任何人都可以訪問該代碼。

Tillie Kottmann 還在其 Twitter 賬戶上發(fā)布了指向在線存儲(chǔ)庫的鏈接。

50 多家公司代碼被泄露

泄漏代碼的公共存儲(chǔ)庫中包括微軟、Adobe、聯(lián)想、AMD、高通、摩托羅拉、華為海思、聯(lián)發(fā)科技、GE家電、任天堂、Roblox、迪士尼、江森自控等知名公司，而且這個(gè)清單還在增長。

這些泄漏來自各種來源，也來自他們自己對(duì)配置錯(cuò)誤的 Devops 工具的追捕，這些工具可以訪問源代碼。

在 GitLab 上的公共存儲(chǔ)庫中可以找到大量此類泄漏，這些泄漏的名稱為“機(jī)密”，或者更貼切的標(biāo)簽為“機(jī)密和專有”。

據(jù)專注于銀行業(yè)威脅和欺詐的研究人員 Bank Security 稱，該信息庫中發(fā)布了來自 50 多家公司的代碼。不過，并非所有文件夾都已填充，但是研究人員說在某些情況下還存在憑據(jù)。

開發(fā)人員承認(rèn)，在發(fā)布代碼之前，他們并不總是與受影響的公司聯(lián)系，但是他們努力將發(fā)布所產(chǎn)生的負(fù)面影響最小化。Kottmann 說：“我會(huì)盡力防止發(fā)布中直接導(dǎo)致的任何重大問題。”

公司使用錯(cuò)誤的 Devops 工具暴露代碼

Kottmann 還表示，他們遵守移除要求，并樂意提供可增強(qiáng)公司基礎(chǔ)架構(gòu)安全性的信息。但是，一些公司甚至可能沒有注意到其源代碼已被在線發(fā)布。即使他們知道了，可能也不在乎。一些注意到其代碼公開的企業(yè)不會(huì)費(fèi)心將其刪除。至少在一個(gè)實(shí)例中，一家公司的幾名開發(fā)人員只是想知道 Kottmann 是如何獲得代碼的，并沒有要求刪除代碼，反而認(rèn)為“很有趣”。

Kottmann 稱，他們?cè)噲D在發(fā)布硬編碼憑證之前從公司的源代碼中刪除這些硬編碼憑證，這些憑證通常用于創(chuàng)建后門程序，以免發(fā)生更加強(qiáng)大的安全漏洞。

回顧在 Kottmann 的 GitLab 服務(wù)器上泄漏的一些代碼，可以發(fā)現(xiàn)某些項(xiàng)目已由其原始開發(fā)人員公開發(fā)布，或者在很久以前進(jìn)行了最后更新。

不過，開發(fā)人員表示，有更多公司使用錯(cuò)誤的 Devops 工具配置了暴露源代碼的公司。此外，他們正在探索運(yùn)行 SonarQube 的服務(wù)器，SonarQube 是一個(gè)開源平臺(tái)，用于自動(dòng)代碼審核和靜態(tài)分析，以發(fā)現(xiàn)錯(cuò)誤和安全漏洞。

Kottmann 相信，有成千上萬的公司由于未能正確保護(hù) SonarQube 安裝而暴露了專有代碼。

正如安全專家 Jake Moore 所說，將源代碼提供給公眾查看可以使網(wǎng)絡(luò)攻擊者更容易竊取公司的機(jī)密。

Jake Moore 說：“失去對(duì)互聯(lián)網(wǎng)源代碼的控制，就像把銀行的藍(lán)圖交給劫匪一樣。”