电子说
据悉,由于不安全的 DevOps 应用程序导致公司专有信息暴露,包括微软、Adobe、联想、AMD、高通、海思、联发科等 50 多家科技公司源代码泄露。
据了解,这些遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有),任何人都可以访问。
根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证。(一种创建后门的方式。)
此外,开发人员 Tillie Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。
Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”
对于上述事件,不少安全专家表示,“在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯一样。”
目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯 - 奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann 表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。
而关于源代码泄露的原因,开发团队也在继续寻找原因。Kottmann 称,他们试图在发布硬编码凭证之前从公司的源代码中删除这些硬编码凭证,这些凭证通常用于创建后门程序,以免发生更加强大的安全漏洞。
回顾在 Kottmann 的 GitLab 服务器上泄漏的一些代码,可以发现某些项目已由其原始开发人员公开发布,或者在很久以前进行了最后更新。
不过,开发人员表示,有更多公司使用错误的 Devops 工具配置了暴露源代码的公司。此外,他们正在探索运行 SonarQube 的服务器,SonarQube 是一个开源平台,用于自动代码审核和静态分析,以发现错误和安全漏洞。
Kottmann 认为,有成千上万的公司由于未能正确保护 SonarQube 安装而暴露了专有代码。
不过,网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。
已知受影响的公司如下:
Johnson Controls(江森自控)
iLendx
Banca Nazionale del Lavoro(意大利国家劳工银行)
Lenovo-smart-display-7
Adobe
Fastspring
GE Appliances
Mercury TFS
GovCloudRecords
MyDesktop
eMasurematics
Buckzy
TeamApt
Alpha FX
Covid Apps
Romeo Power
Digital Health Department
DRO Health
Elgin Industries
Berkeley Lights
Pwnee Studios
NYNJA
Tapway
BlocPower
Capital Technology Services
Lenovo
AMI
insyde
Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
KaiOS
AMD
Chenyee / Gionee
Disney
Mineplex
Daimler
Rockchip
HiSilicon(海思)
Aukey
Chunmi
Xiaomi's Kitchen Appliance Subsidiary(小米)
PUKKA
Roblox Corporation
Microsoft(微软)
Motorola(摩托罗拉)
Qualcomm(高通)
Mediatek(联发科)
Bahwan CyberTek
CryptoSoul
gms
ReactMobile
ЦЭККМП
Tactical Electronics
Siasun
全部0条评论
快来发表一下你的评论吧 !