来自技术、金融、零售和其他领域的 50 多家知名公司内部软件源代码泄露!
瑞士开发人员 Tillie Kottmann 从微软、迪士尼、摩托罗拉、华为海思等公司获取了源代码,并发布在 GitLab 上的公共在线存储库中,任何人都可以访问该代码。
Tillie Kottmann 还在其 Twitter 账户上发布了指向在线存储库的链接。
50 多家公司代码被泄露
泄漏代码的公共存储库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科技、GE家电、任天堂、Roblox、迪士尼、江森自控等知名公司,而且这个清单还在增长。
这些泄漏来自各种来源,也来自他们自己对配置错误的 Devops 工具的追捕,这些工具可以访问源代码。
在 GitLab 上的公共存储库中可以找到大量此类泄漏,这些泄漏的名称为“机密”,或者更贴切的标签为“机密和专有”。
据专注于银行业威胁和欺诈的研究人员 Bank Security 称,该信息库中发布了来自 50 多家公司的代码。不过,并非所有文件夹都已填充,但是研究人员说在某些情况下还存在凭据。
开发人员承认,在发布代码之前,他们并不总是与受影响的公司联系,但是他们努力将发布所产生的负面影响最小化。Kottmann 说:“我会尽力防止发布中直接导致的任何重大问题。”
公司使用错误的 Devops 工具暴露代码
Kottmann 还表示,他们遵守移除要求,并乐意提供可增强公司基础架构安全性的信息。但是,一些公司甚至可能没有注意到其源代码已被在线发布。即使他们知道了,可能也不在乎。一些注意到其代码公开的企业不会费心将其删除。至少在一个实例中,一家公司的几名开发人员只是想知道 Kottmann 是如何获得代码的,并没有要求删除代码,反而认为“很有趣”。
Kottmann 称,他们试图在发布硬编码凭证之前从公司的源代码中删除这些硬编码凭证,这些凭证通常用于创建后门程序,以免发生更加强大的安全漏洞。
回顾在 Kottmann 的 GitLab 服务器上泄漏的一些代码,可以发现某些项目已由其原始开发人员公开发布,或者在很久以前进行了最后更新。
不过,开发人员表示,有更多公司使用错误的 Devops 工具配置了暴露源代码的公司。此外,他们正在探索运行 SonarQube 的服务器,SonarQube 是一个开源平台,用于自动代码审核和静态分析,以发现错误和安全漏洞。
Kottmann 相信,有成千上万的公司由于未能正确保护 SonarQube 安装而暴露了专有代码。
正如安全专家 Jake Moore 所说,将源代码提供给公众查看可以使网络攻击者更容易窃取公司的机密。
Jake Moore 说:“失去对互联网源代码的控制,就像把银行的蓝图交给劫匪一样。”
11月18日,比特币价格突破1.8万美元,创下了自2018年初以来的新高。 如今,比特...
对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不...
一、前言 1. WMI概述 Windows管理规范(WMI)是用于在Windows操作系统上管理数据和...
网络安全问题正在成为企业发展的拦路虎。近期,根据新冠疫情期间的网络安全数据...
这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能...
比特币突破37000美元,根据比特币实时数据,比特币总市值5.33万亿港元,超越阿里...
尼日利亚央行(CBN)下令所有银行关闭任何与加密货币交易的账户。该央行警告称,任...
全球数字货币市场总价值约为1万亿美元,比特币就占了7000多亿,以太币第二,还有...
2020年,制造企业遭受到的网络攻击威胁比以往任何时候都要多。网络犯罪组织和国...
对于印度加密货币社区来说,这是一个法律上模棱两可的季节,但未来的道路看起来...