由於基礎架構配置不當,眾多行業領域(技術、金融、零售、食品、電子商務和製造業)的五十家公司的代碼存儲庫對外洩露,源代碼唾手可得。
一個洩露代碼的公共存儲庫包括微軟、Adobe、聯想、AMD、高通、摩托羅拉、海思(華為旗下)、聯發科技、通用家電、任天堂、Roblox、迪士尼和江森自控等知名公司,而且這份名單越來越長。
收集“機密和專有代碼”的行動
洩露的這些源代碼是開發人員兼逆向工程師Tillie Kottmann從各個來源收集的,他們在搜尋可訪問源代碼的配置不當的devops工具的過程中也發現了部分源代碼。
這些洩露的源代碼中很大一部分就在GitLab上的一個公共存儲庫中,這些源代碼標有“機密”或更貼切的“機密及專有”的名稱。
據專注於銀行威脅和欺詐的研究人員Bank Security聲稱,來自50多家公司的代碼發佈在該存儲庫中。不過,並非所有文件夾都填滿了內容,但是這名研究人員稱在一些情況下還有登錄信息。
Kottmann的服務器顯示了來自多家金融科技公司(Fiserv、Buczy Payments和Mercury Trade Finance Solutions)、銀行(意大利國家勞工銀行)、身份及訪問管理開發商(Pirean Access:One)以及遊戲的代碼。
Kottmann告訴安全外媒BleepingComputer,他們在這個易於訪問的代碼存儲庫中找到了硬編碼的登錄信息,他們試圖儘可能地刪除登錄信息,以防造成直接危害,並避免以任何方式造成更嚴重的洩露。
Kottmann稱:“我在盡力防止我發佈的代碼直接導致任何重大問題。”
這名開發人員承認,在發佈代碼之前,他們並非總是與受影響的公司取得聯繫,不過他們已竭盡全力,儘量減小發布代碼帶來的負面影響。
其他人參與了這個項目,直接或間接地幫助洩露了代碼,或者在不是很知情的情況下幫助Kottmann更好地瞭解所發現代碼的性質。
應要求撤下源代碼
Kottmann還表示,他們應要求撤下了代碼,並樂意提供可加強公司基礎架構安全性的信息。存儲庫中不再有梅塞德斯-奔馳旗下戴姆勒公司洩漏的一份代碼。另一個空文件夾中帶有Lenovo(聯想)的名稱。
不過從收到的《數字千年版權法案》(DMCA)刪除通知數量(估計最多7份)以及法律代表或其他代表的直接聯繫人來看,許多公司可能對洩漏不知情。
一些注意到代碼公開的企業懶得刪除代碼。至少有這麼一例,一家公司的幾名開發人員只是想知道Kottmann是如何獲得代碼的,並沒有要求撤下代碼。
源代碼洩漏完整受害者列表:
- Johnson Controls(江森自控)
- iLendx (聯想)
- Banca Nazionale del Lavoro
- Lenovo-smart-display-7
- Adobe
- Fastspring
- GE Appliances(GE電器)
- Mercury TFS
- GovCloudRecords
- MyDesktop
- eMasurematics
- Buckzy
- TeamApt
- Alpha FX
- Covid Apps
- Romeo Power
- Digital Health Department
- DRO Health
- Elgin Industries
- Berkeley Lights
- Pwnee Studios
- NYNJA
- Tapway
- BlocPower
- Capital Technology Services
- Lenovo(聯想)
- AMI
- insyde
- Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
- KaiOS
- AMD
- Chenyee / Gionee
- Disney(迪士尼)
- Mineplex
- Daimler
- Rockchip
- HiSilicon(海思)
- Aukey
- Chunmi
- Xiaomi's Kitchen Appliance Subsidiary
- PUKKA
- Roblox Corporation
- Microsoft(微軟)
- Motorola(摩托羅拉)
- Qualcomm(高通)
- Mediatek(聯發科)
- Bahwan CyberTek
- CryptoSoul
- gms
- ReactMobile
- ЦЭККМП
- Tactical Electronics
- Siasun
進一步的搜尋
查看在Kottmann的GitLab服務器上洩漏的一些代碼後可發現,一些項目已由原始開發人員公開發布,或者上一次更新在很久以前。
不過這名開發人員稱,更多的公司使用配置不當的devops工具,洩露了源代碼。此外,他們在分析運行SonarQube的服務器以發掘各種bug和安全漏洞,SonarQube是一種開源平臺,用於自動化代碼審核和靜態分析。
Kottmann認為,成千上萬家公司因未合理保護安裝的SonarQube系統而洩露了專有代碼。
在Telegram頻道中,這名開發人員提供了有關其他公司洩露的詳細信息,包括名為“特大洩露”(Gigaleak)的任天堂洩露,其中包含多款經典遊戲(《超級馬里奧世界》、已取消的《塞爾達傳說2》重製版、《超級馬里奧64》和《塞爾達傳說:時之笛》)的源代碼和開發存儲庫(大量圖形原型)。
尚不清楚Kottmann服務器上有多少代碼是專有代碼。