|华为海思、微软、AMD 等50家公司的源代码惊现在网上
文章图片
本文标题:|华为海思、微软、AMD 等50家公司的源代码惊现在网上
由于基础架构配置不当 , 众多行业领域(技术、金融、零售、食品、电子商务和制造业)的五十家公司的代码存储库对外泄露 , 源代码唾手可得 。
一个泄露代码的公共存储库包括微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为旗下)、联发科技、通用家电、任天堂、Roblox、迪士尼和江森自控等知名公司 , 而且这份名单越来越长 。
收集“机密和专有代码”的行动
泄露的这些源代码是开发人员兼逆向工程师Tillie Kottmann从各个来源收集的 , 他们在搜寻可访问源代码的配置不当的devops工具的过程中也发现了部分源代码 。
这些泄露的源代码中很大一部分就在GitLab上的一个公共存储库中 , 这些源代码标有“机密”或更贴切的“机密及专有”的名称 。
据专注于银行威胁和欺诈的研究人员Bank Security声称 , 来自50多家公司的代码发布在该存储库中 。 不过 , 并非所有文件夹都填满了内容 , 但是这名研究人员称在一些情况下还有登录信息 。
文章图片
Kottmann的服务器显示了来自多家金融科技公司(Fiserv、Buczy Payments和Mercury Trade Finance Solutions)、银行(意大利国家劳工银行)、身份及访问管理开发商(Pirean Access:One)以及游戏的代码 。
Kottmann告诉安全外媒BleepingComputer , 他们在这个易于访问的代码存储库中找到了硬编码的登录信息 , 他们试图尽可能地删除登录信息 , 以防造成直接危害 , 并避免以任何方式造成更严重的泄露 。
Kottmann称:“我在尽力防止我发布的代码直接导致任何重大问题 。 ”
这名开发人员承认 , 在发布代码之前 , 他们并非总是与受影响的公司取得联系 , 不过他们已竭尽全力 , 尽量减小发布代码带来的负面影响 。
其他人参与了这个项目 , 直接或间接地帮助泄露了代码 , 或者在不是很知情的情况下帮助Kottmann更好地了解所发现代码的性质 。
应要求撤下源代码
Kottmann还表示 , 他们应要求撤下了代码 , 并乐意提供可加强公司基础架构安全性的信息 。 存储库中不再有梅塞德斯-奔驰旗下戴姆勒公司泄漏的一份代码 。 另一个空文件夹中带有Lenovo(联想)的名称 。
不过从收到的《数字千年版权法案》(DMCA)删除通知数量(估计最多7份)以及法律代表或其他代表的直接联系人来看 , 许多公司可能对泄漏不知情 。
一些注意到代码公开的企业懒得删除代码 。 至少有这么一例 , 一家公司的几名开发人员只是想知道Kottmann是如何获得代码的 , 并没有要求撤下代码 。
文章图片
文章图片
文章图片
源代码泄漏完整受害者列表:
Johnson Controls(江森自控)
iLendx (联想)
Banca Nazionale del Lavoro
Lenovo-smart-display-7
Adobe
Fastspring
GE Appliances(GE电器)
Mercury TFS
GovCloudRecords
MyDesktop
eMasurematics
Buckzy
TeamApt
Alpha FX
Covid Apps
Romeo Power
Digital Health Department
DRO Health
Elgin Industries
Berkeley Lights
Pwnee Studios
NYNJA
Tapway
BlocPower
Capital Technology Services
Lenovo(联想)
AMI
insyde
Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
KaiOS
AMD
Chenyee / Gionee
Disney(迪士尼)
Mineplex
Daimler
Rockchip
HiSilicon(海思)
Aukey
Chunmi
Xiaomi's Kitchen Appliance Subsidiary
PUKKA
Roblox Corporation
Microsoft(微软)
Motorola(摩托罗拉)
Qualcomm(高通)
Mediatek(联发科)
Bahwan CyberTek
CryptoSoul
gms
ReactMobile
ЦЭККМП
Tactical Electronics
Siasun
进一步的搜寻
查看在Kottmann的GitLab服务器上泄漏的一些代码后可发现 , 一些项目已由原始开发人员公开发布 , 或者上一次更新在很久以前 。
不过这名开发人员称 , 更多的公司使用配置不当的devops工具 , 泄露了源代码 。 此外 , 他们在分析运行SonarQube的服务器以发掘各种bug和安全漏洞 , SonarQube是一种开源平台 , 用于自动化代码审核和静态分析 。
推荐阅读
![[创作者来直播]国联股份多多电商首播带货:订单超2.3亿元!观众达5.1万次](http://ttbs.guangsuss.com/image/a9705ba3d808d27705a84e7a1cf72585)
- Windows|Windows 10 21H1新功能预览介绍
- 选择|《废土3》上市 AMD锐龙9 3900X助您自由穿梭末日世界
- Windows|微软正在准备修复一个影响SSD寿命的Windows 10错误
- Microsoft|微软发布Edge 85稳定版 但触笔用户可能对Edge 86更感兴趣
- Samsung|三星正在用整合微软OneDrive的方式来取代部分移动云服务
- Windows|微软重新发布KB4023057补丁 再次推动Windows 10更新
- 澎湃新闻@沃尔玛:与微软合作竞购TikTok 相信能解除美监管担忧澎湃新闻2020-08-28 14:54:400阅
- AMD|AMD发布Adrenalin 20.8.3显卡驱动: 《堡垒之夜》提升多达12%
- Windows|微软继续改进Windows 10上的Your Phone应用体验 目前已接近完工
- Microsoft|微软探索 LTO+PGO 以优化 Linux 内核