错误配置致数十家公司源代码泄露
source link: http://4hou.win/wordpress/?p=47457
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
由于基础设施的错误配置导致数十家公司源代码泄露,涵盖科技、金融、零售、食品、电商和制造业。泄露代码的公开库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、Mediatek、通用、任天堂、Roblox、迪斯尼、强生等,而且泄露列表仍在更新中。
代码泄露是由逆向工程师Tillie Kottmann 从不同渠道以及错误配置的devop工具中获取的。Bank Security称,一位关注银行威胁和欺诈的研究人员发现该gitlab库中有超过50家企业的代码。虽然并不是所有的文件夹都进行计数了,但研究人员称其中含有凭证信息。
Kottmann的服务器上还有来自金融科技公司、银行、身份和访问管理、游戏企业的源代码。Kottmann称在代码库中发现了硬编码的凭证,他已经尽可能删除凭证等重要信息,以防由于代码泄露导致的进一步信息或数据泄露。Kottmann承认在公开泄露的代码前没有与受影响的企业取得联系,但已经采取了措施来减少公布这些信息带来的负面影响。
Kottmann称其也接受删除(下架)的请求,并且乐于提供加强企业基础设施安全的信息。Daimler AG泄露的信息已经从库中删除了,另一个空文件夹中有联想的名字。
从目前接收到的DMCA通知的数量以及与企业直接联系得到的信息,许多公司可能还没有意识到代码泄露事件。
许多了解到代码泄露的企业似乎并不急于移除这些代码。这些企业的许多开发者都想要知道Kottmann 是怎么样获得这些代码的,而不是要求移除这些代码。
研究人员检查Kottmann的GitLab服务器发现其中一些项目是由原始开发者公开的,或者上次更新时间距今已经很久了。
但有开发者告诉研究人员称有许多使用了错误配置的devops工具可能会泄露源码。Kottmann 相信有上千家企业由于没有正确地确保SonarQube 安装的安全导致暴露了专用代码。
在Telegram 上,有开发者提供了关于代码泄露的细节,包括Nintendo泄露了多个经典游戏的包括源码和开发库,涉及超级马里奥世界、超级马里奥64,塞尔达传奇:奥卡琳娜的时间等。
更多细节参见:https://www.polygon.com/2020/7/26/21339018/nintendo-gigaleak-super-mario-64-zelda-pokemon-what-is-it-snes
目前还不清楚Kottmann 的服务器上有哪些代码是专用的或应该保密的。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK