50多家科技、金融、零售等领域知名企业内部软件源代码泄露!来自微软、迪士尼、摩托罗拉、华为海思等公司的瑞士开发人员TillieKottmann。该公司获取源代码并将其发布在GitLab的公共在线存储库中,任何人都可以访问它。TillieKottmann还在他的Twitter帐户上发布了一个指向在线存储库的链接。50多家公司的代码被泄露。泄露代码的公共存储库包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科、GEAppliances、任天堂、Roblox、迪士尼、江森自控等知名公司,而且这个名单还在不断增加。这些泄漏来自各种来源,以及他们自己寻找可以访问源代码的配置错误的DevOps工具。可以在GitLab的公共存储库中找到许多此类泄漏,这些存储库标题为“机密”,或者更恰当地标记为“机密和专有”。据专注于银行业威胁和欺诈的研究人员BankSecurity称,存储库中发布了来自50多家公司的代码。尽管如此,并非所有文件夹都已填充,但研究人员表示在某些情况下存在凭据。开发人员承认,他们并不总是在发布代码之前联系受影响的公司,但他们会努力将发布的负面影响降至最低。科特曼说:“我试图防止发布直接导致的任何重大问题。”该公司使用了错误的Devops工具来公开代码。科特曼还表示,他们遵守删除请求,并乐于提供可以加强公司基础设施安全性的信息。然而,有些公司甚至可能没有注意到他们的源代码已发布到网上。就算他们知道,估计也不会在意。一些注意到他们的代码是公开的企业没有费心去删除它。至少在一个例子中,一家公司的几位开发人员只是想知道科特曼是如何得到代码的,而不是要求删除它,而是认为它“很有趣”。科特曼说,他们试图在发布公司源代码之前从公司的源代码中删除通常用于创建后门的硬编码凭据,以防止更强大的安全漏洞。对Kottmann的GitLab服务器上泄露的一些代码进行审查后发现,一些项目已经由其原始开发人员公开发布,或者上次更新是在很久以前。不过,开发人员表示,还有更多公司暴露了使用错误的DevOps工具配置的源代码。此外,他们正在探索运行SonarQube的服务器,SonarQube是一个开源平台,用于自动代码审计和静态分析以发现错误和安全漏洞。Kottmann认为,由于未能正确保护SonarQube安装,成千上万的公司已经暴露了专有代码。正如安全专家JakeMoore所说,让源代码可供公众查看可以让网络攻击者更容易窃取公司机密。“失去对互联网源代码的控制就像将银行的蓝图交给强盗,”杰克摩尔说。
