本文經(jīng)AI新媒體量子位（公眾號ID:QbitAI）授權轉(zhuǎn)載，轉(zhuǎn)載請聯(lián)系出處。

[[335740]]

50多家知名公司內(nèi)部源代碼已經(jīng)在線泄露。

Adobe、微軟、迪士尼、AMD、高通、海思、小米、任天堂……均在名單之中，橫跨技術、金融、零售等諸多領域。

并且，黑客還把這些代碼都發(fā)布在了GitLab上，任何人都可以訪問。

沒錯，就是那家全球第二大開源代碼托管平臺，谷歌重金投資加持的開源獨角獸。

「隱秘的內(nèi)部代碼」，是如何泄露的？

這些泄露的代碼由瑞士黑客Tillie Kottamann收集。

據(jù)專注于銀行業(yè)安全的Bank Security統(tǒng)計，其GitLab公開存儲庫中有50多家公司的相關源代碼。

其中一家涉事公司teamapt隨即進行了調(diào)查，發(fā)現(xiàn)他們泄露的代碼主要是駐留在靜態(tài)代碼分析工具上的代碼快照。

△ Kottamann公開的一段銀行軟件代碼

該公司聲明，這些代碼中不包含敏感數(shù)據(jù)，不會對客戶構成安全風險。

Tillie Kottamann也對技術網(wǎng)站BLeeping Computer表示，這個公開存儲庫中很多源代碼暴露的原因，是其公司使用了配置錯誤的DevOps工具。

另外，他們也對開源平臺SonarQube的服務器進行了探索。

SonarQube能夠自動代碼審核和靜態(tài)分析服務，以幫助開發(fā)者發(fā)現(xiàn)代碼錯誤和安全漏洞。

Kottamann指出，有成千上萬的公司因未能妥善確保SonarQube的安全使用，而招致暴露專有代碼的風險。

另外，在其Telegram頻道中，Kottamann還提供了有關其他安全漏洞的詳細信息，包括被稱作Gigaleak的任天堂外泄代碼——含有《超級馬力歐世界》、《塞爾達傳說：時之笛》等經(jīng)典游戲信息。

部分含有硬編碼認證憑據(jù)，黑客：會先刪掉

任天堂外泄的代碼也引發(fā)了游戲界的關注。

網(wǎng)絡安全專家、知名電腦安全軟件公司ESET發(fā)言人Jake Moore就指出：

源代碼的公開，可能會導致網(wǎng)絡攻擊者更容易竊取到公司內(nèi)部的機密信息。

而Bank Security也表示，這些源代碼里有一部分會包含硬編碼的認證憑據(jù)。

這就相當于把你家大門的鑰匙丟到了攻擊者面前，攻擊者拿到硬編碼的認證憑據(jù)后攻擊成本會更低。

對此， Kottamann做出回應稱，他們在發(fā)布這些代碼時，盡量排查并刪除了其中存儲的硬編碼認證憑據(jù)，以防止直接對這些公司造成傷害，引起更大的破壞。

不過，他也承認，在公布這些代碼之前，他們并不總事先與受影響的公司通氣。

戴勒姆要求刪除，也有人不在意

Kottmann還對Bleeping Computer表示，如果公司要求刪除代碼，他們愿意接受，并樂意提供能夠幫助這些公司增強基礎架構安全性的信息。

比如，現(xiàn)在存儲庫中就不再存有奔馳母公司戴勒姆的外泄代碼。

但也有一些知道自家代碼泄漏的企業(yè)并沒有要求撤下代碼。他們比較關心Kottmann是如何獲取了這些代碼，并表示這“很有趣”。

另外，Kottmann指出，從收到的DMCA刪除通知數(shù)量，以及這些公司的代表同他直接聯(lián)系的數(shù)量來看，目前一些公司可能尚不知曉其源代碼已經(jīng)泄露。

最后，附上Bank Security統(tǒng)計的完整名單。

• Johnson Controls
• iLendx
• Banca Nazionale del Lavoro
• Lenovo-smart-display-7
• Adobe
• Fastspring
• GE Appliances
• Mercury TFS
• GovCloudRecords
• MyDesktop
• eMasurematics
• Buckzy
• TeamApt
• Alpha FX
• Covid Apps
• Romeo Power
• Digital Health Department
• DRO Health
• Elgin Industries
• Berkeley Lights
• Pwnee Studios
• NYNJA
• Tapway
• BlocPower
• Capital Technology Services
• Lenovo
• AMI
• insyde
• Erobbing
• KaiOS
• AMD
• Chenyee / Gionee
• Disney
• Mineplex
• Daimler
• Rockchip
• HiSilicon
• Aukey
• Chunmi
• Xiaomi's Kitchen Appliance Subsidiary
• PUKKA
• Roblox Corporation
• Microsoft
• Motorola
• Qualcomm
• Mediatek
• Bahwan CyberTek
• CryptoSoul
• gms
• ReactMobile
• ЦЭККМП
• Tactical Electronics
• Siasun