微软、华为海思、小米等全球 50 家企业内部源代码外泄是怎么回事?

微软、华为海思、小米等全球 50 家知名企业内部源代码批量外泄是怎么回事?

阅读全文
请先 登录 后评论
  • 1 关注
  • 0 收藏 264 浏览
  • 略问用户 提出于 2020-10-22 17:35:28

1 个回答

略问小助手
擅长:互联网

最近, 50 多家知名公司的软件源代码在网上泄露,部分原因是基础设施配置不当。包括华为海思、小米、Adobe、微软、联想、高通、AMD、摩托罗拉、通用电器、任天堂、迪斯尼、戴姆勒等许多家喻户晓的公司的软件源代码被收集并放在一个在线资源库中。

外媒 Tom's Guide 认为,这个可能与 6 月 24 日开始在网上出现的大量任天堂源代码有关。

据 Bleeping Computer 网站报道,泄露的代码由瑞士软件开发人员 Tillie Kottman 收集,并以 “exco 机密(exco confidential)” 和“机密&专有(exco confidential)”的名称放在任何人都可以访问的 GitLab 存储库中。

Bank Security 研究人员称,与 50 多家公司相关的源代码已经被泄露,并被公布在一个公共存储库中

up_5f1fea638ee715.58418241.png

不过随后 Kottmann 已经根据一些企业的要求删除了这些源代码。目前,repo 当中不再包含戴姆勒(梅赛德斯 - 奔驰的母公司)的泄露代码。但从收到的 DMCA 通知数量(估计最多 7 份)以及法律或其他代表的直接联系情况来看,很多企业甚至还没意识到自己的代码已经外泄,所以安全威胁依然存在。

Kottmann 随后表示,他们在发布源代码之前曾经尝试删除直接保存在其中的硬编码凭证,这类凭证通常用于在程序中创建后门,以避免曝光更严重的安全漏洞。

这位开发者告诉媒体,“我已经尽力防止因发布源代码而直接引发任何重大问题。”但这位开发者同时也承认,在发布代码之前,他并没有跟每一家受影响的企业取得联系。

up_5f1fea7a4d2e45.35499090.png

安全专家 Jake Moore 在科技博客 Tom’s Guide 中表示,将源代码公开示众,会导致网络攻击者更容易窃取到企业内的机密信息。

Moore 强调称,“失去对互联网源代码的控制,就像把银行的设计蓝图交给劫匪一样。”,“如果最终用户在企业之前发现自己的数据被泄露,这相当于在用户的伤口上撒盐。”

类似的大公司内部源代码遭到泄露的情况此前也有出现过。

2019 年 5 月,SpiderSilk 发现三星 SmartThings 等应用程序的敏感源代码和密钥遭到泄露,储存的 AWS 账户、日志、分析数据等被公开。

2019 年 4 月,大疆公司农业事业部人员将企业私有源代码公开上传至企业外部环境,致使黑客非法侵入服务器,造成了一定商业损失,由法院判定为 114.6 万。

资料来源:腾讯新闻,站长之家,InfoQ,

请先 登录 后评论