因为基础设施配置错误,数十家公司源代码泄露,涉及科技、金融、零售、食品、电子商务和制造。泄露代码的公共库包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科、通用、任天堂、Roblox、迪士尼、强生等,泄露列表仍在更新中。代码泄漏是由逆向工程师TillieKottmann从不同来源以及错误配置的开发工具中获得的。BankSecurity表示,一名专注于银行威胁和欺诈的研究人员在gitlab存储库中发现了来自50多家公司的代码。虽然并非所有文件夹都被计算在内,但研究人员表示它们包含凭证信息。Kottmann的服务器还托管来自金融科技公司、银行、身份和访问管理以及游戏业务的源代码。科特曼表示,在代码库中发现了硬编码的凭据,他已经尽可能地删除了凭据等重要信息,以防止因代码泄露而导致进一步的信息或数据泄露。科特曼承认,在公开泄露的代码之前,他没有联系受影响的公司,但已经采取措施减少公布这些信息的负面影响。科特曼表示,它也接受删除请求,并乐于提供有关加强企业基础设施安全的信息。戴姆勒公司泄露的信息已从库中删除,另一个空文件夹中有联想的名字。从目前收到的DMCA通知数量以及与商家的直接接触来看,很多公司可能并不知道代码泄露。许多了解泄漏代码的企业似乎并不急于将其删除。这些公司的许多开发人员想知道科特曼是如何获得代码的,而不是要求将其删除。检查Kottmann的GitLab服务器后发现,其中一些项目是由原始开发人员公开提供的,或者是很久以前的最后一次更新。但开发人员告诉研究人员,有许多配置错误的devops工具可能会泄露源代码。Kottmann认为,有数以千计的企业由于未正确保护其SonarQube安装而暴露了专有代码。在Telegram上,有开发者提供了代码泄露的细节,包括任天堂泄露了多款经典游戏的源代码和开发库,涉及《超级马里奥世界》、《超级马里奥64》、《塞尔达传说:陶笛时光》等。有关详细信息,请参见:https://www.polygon.com/2020/7/26/21339018/nintendo-gigaleak-super-mario-64-zelda-pokemon-what-is-it-snes服务器上的代码是什么私人或应该保密。
