華為海思、微軟、AMD 等50家公司的源代碼驚現在網上頭條網

2020-12-17 08:32:17 佚名

由於基礎架構配置不當，眾多行業領域（技術、金融、零售、食品、電子商務和製造業）的五十家公司的代碼存儲庫對外洩露，源代碼唾手可得。

一個洩露代碼的公共存儲庫包括微軟、Adobe、聯想、AMD、高通、摩托羅拉、海思（華為旗下）、聯發科技、通用家電、任天堂、Roblox、迪士尼和江森自控等知名公司，而且這份名單越來越長。

收集“機密和專有代碼”的行動

洩露的這些源代碼是開發人員兼逆向工程師Tillie Kottmann從各個來源收集的，他們在搜尋可訪問源代碼的配置不當的devops工具的過程中也發現了部分源代碼。

這些洩露的源代碼中很大一部分就在GitLab上的一個公共存儲庫中，這些源代碼標有“機密”或更貼切的“機密及專有”的名稱。

據專注於銀行威脅和欺詐的研究人員Bank Security聲稱，來自50多家公司的代碼發佈在該存儲庫中。不過，並非所有文件夾都填滿了內容，但是這名研究人員稱在一些情況下還有登錄信息。

Kottmann的服務器顯示了來自多家金融科技公司（Fiserv、Buczy Payments和Mercury Trade Finance Solutions）、銀行（意大利國家勞工銀行）、身份及訪問管理開發商（Pirean Access：One）以及遊戲的代碼。

Kottmann告訴安全外媒BleepingComputer，他們在這個易於訪問的代碼存儲庫中找到了硬編碼的登錄信息，他們試圖儘可能地刪除登錄信息，以防造成直接危害，並避免以任何方式造成更嚴重的洩露。

Kottmann稱：“我在盡力防止我發佈的代碼直接導致任何重大問題。”

這名開發人員承認，在發佈代碼之前，他們並非總是與受影響的公司取得聯繫，不過他們已竭盡全力，儘量減小發布代碼帶來的負面影響。

其他人參與了這個項目，直接或間接地幫助洩露了代碼，或者在不是很知情的情況下幫助Kottmann更好地瞭解所發現代碼的性質。

應要求撤下源代碼

Kottmann還表示，他們應要求撤下了代碼，並樂意提供可加強公司基礎架構安全性的信息。存儲庫中不再有梅塞德斯-奔馳旗下戴姆勒公司洩漏的一份代碼。另一個空文件夾中帶有Lenovo（聯想）的名稱。

不過從收到的《數字千年版權法案》（DMCA）刪除通知數量（估計最多7份）以及法律代表或其他代表的直接聯繫人來看，許多公司可能對洩漏不知情。

一些注意到代碼公開的企業懶得刪除代碼。至少有這麼一例，一家公司的幾名開發人員只是想知道Kottmann是如何獲得代碼的，並沒有要求撤下代碼。

源代碼洩漏完整受害者列表：

Johnson Controls（江森自控）
iLendx （聯想）
Banca Nazionale del Lavoro
Lenovo-smart-display-7
Adobe
Fastspring
GE Appliances（GE電器）
Mercury TFS
GovCloudRecords
MyDesktop
eMasurematics
Buckzy
TeamApt
Alpha FX
Covid Apps
Romeo Power
Digital Health Department
DRO Health
Elgin Industries
Berkeley Lights
Pwnee Studios
NYNJA
Tapway
BlocPower
Capital Technology Services
Lenovo（聯想）
AMI
insyde
Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
KaiOS
AMD
Chenyee / Gionee
Disney（迪士尼）
Mineplex
Daimler
Rockchip
HiSilicon（海思）
Aukey
Chunmi
Xiaomi's Kitchen Appliance Subsidiary
PUKKA
Roblox Corporation
Microsoft（微軟）
Motorola（摩托羅拉）
Qualcomm（高通）
Mediatek（聯發科）
Bahwan CyberTek
CryptoSoul
gms
ReactMobile
ЦЭККМП
Tactical Electronics
Siasun