从许多公司曝光的回购中泄露的源代码,包括任天堂、微软、Adobe、联想、AMD、高通;尚不清楚其中有多少是专有的

2020-07-28 07:30:20

由于基础设施中的错误配置,来自不同活动领域(技术、金融、零售、食品、电子商务、制造)的数十家公司的公开存储库的源代码是公开的。

泄露代码的公共储存库包括微软、Adobe、联想、AMD、高通、摩托罗拉、Hisili(华为所有)、联发科、GE电器、任天堂、Roblox、迪士尼、江森自控等大牌公司;而且这个名单还在不断增加。

这些泄密是由开发人员和反向工程师Tillie Kottmann从各种来源收集的,他们自己也在寻找提供源代码访问的错误配置的devops工具。

GitLab上的公共储存库提供了大量这样的泄密信息,它们的名字是“ex机密性的”,或者更开玩笑的标签是“机密和专有”(Confidential&;Productive),它们都可以在GitLab的公共存储库中找到。

据专注于银行威胁和欺诈的研究人员Bank Security称,来自50多家公司的代码发布在存储库中。不过,并不是所有的文件夹都填满了,但研究人员说,在某些情况下会出现凭证。

科特曼的服务器显示了来自金融科技公司(费瑟夫公司、巴奇支付公司、水星贸易融资解决方案公司)、银行(拉沃罗银行)、身份和访问管理开发商(Pirean Access:One)和游戏的代码。

Kottmann告诉BleepingComputer,他们在容易访问的代码库中找到了硬编码的凭据,他们将尽可能地删除这些凭据,以防止直接伤害,并避免以任何方式导致更大的漏洞。

科特曼告诉Bleepingcomputer:“我尽我最大的努力防止任何重大事件直接因我的释放而产生。”

开发人员承认,在发布代码之前,他们并不总是联系受影响的公司,但他们努力将发布代码造成的负面影响降至最低。

其他人参与了这个项目,直接或间接地为泄密做出了贡献,或者在他们不清楚的情况下帮助Kottmann更好地理解了他们发现的性质。

Kottmann还表示,他们遵从关闭请求,并乐于提供信息,以加强公司基础设施的安全。戴姆勒股份公司(Daimler AG Corporation)梅赛德斯-奔驰(Mercedes-Benz)品牌背后的一个泄密事件不再出现在储存库中。另一个空文件夹的名称中有联想。

然而,从收到的DMCA通知的数量(估计最多七份)以及来自法律或其他代表的直接联系来看,许多公司可能并不知道泄密事件。

一些注意到他们的代码变得公开的企业不会费心将其删除。至少有一次,一家公司的几名开发人员只想知道Kottmann是如何获得代码的,并没有要求将其删除,希望“非常有趣”。

查看Kottmann的GitLab服务器上泄露的一些代码发现,其中一些项目已经由最初的开发人员公开,或者最后一次更新是在很久以前。

尽管如此,开发人员告诉我们,有更多的公司错误配置了devops工具,从而暴露了源代码。此外,他们正在探索运行SonarQube的服务器,SonarQube是一个开放源码平台,用于自动代码审计和静态分析,以发现错误和安全漏洞。

Kottmann认为,有数千家公司未能正确保护SonarQube安装,从而暴露了专有代码。

在Telegram频道中,开发人员提供了其他人泄露的细节,包括任天堂泄露的名为Gigaleak的信息,其中包含源代码,开发报告(大量图形原型)和多款经典游戏的开发报告(超级马里奥世界,被取消的塞尔达2翻拍版,超级马里奥64,以及塞尔达传奇:时间的奥卡莉娜)。

目前还不清楚Kottmann的云服务器上有多少代码是专有的,应该保密。BedepingComputer已经联系了一些在收集中列出的公司,以了解它们受到泄密影响的程度。