微軟、海思、任天堂等50多家知名公司源代碼泄露，人人可公開訪問

作者：魚羊 2020-07-30 15:20:15

50多家知名公司內部源代碼已經在線泄露。Adobe、微軟、迪士尼、AMD、高通、海思、小米、任天堂……均在名單之中，橫跨技術、金融、零售等諸多領域。

本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯系出處。

50多家知名公司內部源代碼已經在線泄露。

Adobe、微軟、迪士尼、AMD、高通、海思、小米、任天堂……均在名單之中，橫跨技術、金融、零售等諸多領域。

并且，黑客還把這些代碼都發布在了GitLab上，任何人都可以訪問。

沒錯，就是那家全球第二大開源代碼托管平臺，谷歌重金投資加持的開源獨角獸。

「隱秘的內部代碼」，是如何泄露的？

這些泄露的代碼由瑞士黑客Tillie Kottamann收集。

據專注于銀行業安全的Bank Security統計，其GitLab公開存儲庫中有50多家公司的相關源代碼。

其中一家涉事公司teamapt隨即進行了調查，發現他們泄露的代碼主要是駐留在靜態代碼分析工具上的代碼快照。

△ Kottamann公開的一段銀行軟件代碼

該公司聲明，這些代碼中不包含敏感數據，不會對客戶構成安全風險。

Tillie Kottamann也對技術網站BLeeping Computer表示，這個公開存儲庫中很多源代碼暴露的原因，是其公司使用了配置錯誤的DevOps工具。

另外，他們也對開源平臺SonarQube的服務器進行了探索。

SonarQube能夠自動代碼審核和靜態分析服務，以幫助開發者發現代碼錯誤和安全漏洞。

Kottamann指出，有成千上萬的公司因未能妥善確保SonarQube的安全使用，而招致暴露專有代碼的風險。

另外，在其Telegram頻道中，Kottamann還提供了有關其他安全漏洞的詳細信息，包括被稱作Gigaleak的任天堂外泄代碼——含有《超級馬力歐世界》、《塞爾達傳說：時之笛》等經典游戲信息。

任天堂外泄的代碼也引發了游戲界的關注。

網絡安全專家、知名電腦安全軟件公司ESET發言人Jake Moore就指出：

源代碼的公開，可能會導致網絡攻擊者更容易竊取到公司內部的機密信息。

而Bank Security也表示，這些源代碼里有一部分會包含硬編碼的認證憑據。

這就相當于把你家大門的鑰匙丟到了攻擊者面前，攻擊者拿到硬編碼的認證憑據后攻擊成本會更低。

對此， Kottamann做出回應稱，他們在發布這些代碼時，盡量排查并刪除了其中存儲的硬編碼認證憑據，以防止直接對這些公司造成傷害，引起更大的破壞。

不過，他也承認，在公布這些代碼之前，他們并不總事先與受影響的公司通氣。

Kottmann還對Bleeping Computer表示，如果公司要求刪除代碼，他們愿意接受，并樂意提供能夠幫助這些公司增強基礎架構安全性的信息。

比如，現在存儲庫中就不再存有奔馳母公司戴勒姆的外泄代碼。

但也有一些知道自家代碼泄漏的企業并沒有要求撤下代碼。他們比較關心Kottmann是如何獲取了這些代碼，并表示這“很有趣”。

另外，Kottmann指出，從收到的DMCA刪除通知數量，以及這些公司的代表同他直接聯系的數量來看，目前一些公司可能尚不知曉其源代碼已經泄露。

最后，附上Bank Security統計的完整名單。

責任編輯：張燕妮來源：量子位