微软、海思、任天堂等50多家知名公司源代码泄露,人人可公开访问

新闻 安全
50多家知名公司内部源代码已经在线泄露。Adobe、微软、迪士尼、AMD、高通、海思、小米、任天堂……均在名单之中,横跨技术、金融、零售等诸多领域。

本文经AI新媒体量子位(公众号ID:QbitAI)授权转载,转载请联系出处。

[[335740]]

50多家知名公司内部源代码已经在线泄露。

Adobe、微软、迪士尼、AMD、高通、海思、小米、任天堂……均在名单之中,横跨技术、金融、零售等诸多领域。

微软、海思、任天堂等50多家知名公司源代码泄露,人人可公开访问

并且,黑客还把这些代码都发布在了GitLab上,任何人都可以访问。

没错,就是那家全球第二大开源代码托管平台,谷歌重金投资加持的开源独角兽。

「隐秘的内部代码」,是如何泄露的?

这些泄露的代码由瑞士黑客Tillie Kottamann收集。

据专注于银行业安全的Bank Security统计,其GitLab公开存储库中有50多家公司的相关源代码。

其中一家涉事公司teamapt随即进行了调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。

微软、海思、任天堂等50多家知名公司源代码泄露,人人可公开访问

△ Kottamann公开的一段银行软件代码

该公司声明,这些代码中不包含敏感数据,不会对客户构成安全风险。

Tillie Kottamann也对技术网站BLeeping Computer表示,这个公开存储库中很多源代码暴露的原因,是其公司使用了配置错误的DevOps工具

另外,他们也对开源平台SonarQube的服务器进行了探索。

SonarQube能够自动代码审核和静态分析服务,以帮助开发者发现代码错误和安全漏洞。

Kottamann指出,有成千上万的公司因未能妥善确保SonarQube的安全使用,而招致暴露专有代码的风险。

另外,在其Telegram频道中,Kottamann还提供了有关其他安全漏洞的详细信息,包括被称作Gigaleak的任天堂外泄代码——含有《超级马力欧世界》、《塞尔达传说:时之笛》等经典游戏信息。

部分含有硬编码认证凭据,黑客:会先删掉

任天堂外泄的代码也引发了游戏界的关注。

网络安全专家、知名电脑安全软件公司ESET发言人Jake Moore就指出:

源代码的公开,可能会导致网络攻击者更容易窃取到公司内部的机密信息。

而Bank Security也表示,这些源代码里有一部分会包含硬编码的认证凭据。

微软、海思、任天堂等50多家知名公司源代码泄露,人人可公开访问

这就相当于把你家大门的钥匙丢到了攻击者面前,攻击者拿到硬编码的认证凭据后攻击成本会更低。

对此, Kottamann做出回应称,他们在发布这些代码时,尽量排查并删除了其中存储的硬编码认证凭据,以防止直接对这些公司造成伤害,引起更大的破坏。

不过,他也承认,在公布这些代码之前,他们并不总事先与受影响的公司通气。

戴勒姆要求删除,也有人不在意

Kottmann还对Bleeping Computer表示,如果公司要求删除代码,他们愿意接受,并乐意提供能够帮助这些公司增强基础架构安全性的信息。

比如,现在存储库中就不再存有奔驰母公司戴勒姆的外泄代码。

但也有一些知道自家代码泄漏的企业并没有要求撤下代码。他们比较关心Kottmann是如何获取了这些代码,并表示这“很有趣”。

另外,Kottmann指出,从收到的DMCA删除通知数量,以及这些公司的代表同他直接联系的数量来看,目前一些公司可能尚不知晓其源代码已经泄露。

最后,附上Bank Security统计的完整名单。

  • Johnson Controls
  • iLendx
  • Banca Nazionale del Lavoro
  • Lenovo-smart-display-7
  • Adobe
  • Fastspring
  • GE Appliances
  • Mercury TFS
  • GovCloudRecords
  • MyDesktop
  • eMasurematics
  • Buckzy
  • TeamApt
  • Alpha FX
  • Covid Apps
  • Romeo Power
  • Digital Health Department
  • DRO Health
  • Elgin Industries
  • Berkeley Lights
  • Pwnee Studios
  • NYNJA
  • Tapway
  • BlocPower
  • Capital Technology Services
  • Lenovo
  • AMI
  • insyde
  • Erobbing
  • KaiOS
  • AMD
  • Chenyee / Gionee
  • Disney
  • Mineplex
  • Daimler
  • Rockchip
  • HiSilicon
  • Aukey
  • Chunmi
  • Xiaomi's Kitchen Appliance Subsidiary
  • PUKKA
  • Roblox Corporation
  • Microsoft
  • Motorola
  • Qualcomm
  • Mediatek
  • Bahwan CyberTek
  • CryptoSoul
  • gms
  • ReactMobile
  • ЦЭККМП
  • Tactical Electronics
  • Siasun

 

责任编辑:张燕妮 来源: 量子位
相关推荐

2020-07-30 09:56:04

安全泄露技术

2020-08-12 08:12:48

源代码源码泄露网络攻击

2020-05-24 17:12:29

任天堂操作系统代码

2020-07-29 15:06:39

数据泄露源代码泄露信息安全

2020-05-06 12:18:20

任天堂黑客代码

2021-01-07 11:09:58

源代码泄露数据泄露勒索软件

2013-07-10 10:41:29

2011-02-22 11:04:01

2020-07-28 15:18:20

源代码泄露泄露代码网络攻击

2021-01-14 15:38:32

谷歌思科源代码

2020-07-10 13:58:18

Windows 7微软软件

2021-01-02 09:28:19

微软黑客源代码泄露

2010-04-08 10:28:09

2018-04-25 10:51:58

2020-10-11 21:57:06

Windows 功能系统

2019-07-01 06:30:07

微软开发Linux

2020-06-29 09:36:18

数据泄露漏洞信息安全

2023-03-27 18:22:05

2020-11-14 11:20:56

渗透测试Cobalt Stri源代码

2011-08-23 16:46:55

谷歌任天堂wii
点赞
收藏

51CTO技术栈公众号