微软、海思、任天堂等50多家知名公司的源代码已经泄露,大家可以公开访问。50多家知名企业内部源代码在线泄露。Adobe、微软、迪士尼、AMD、高通、海思、小米、任天堂……均上榜,横跨科技、金融、零售等众多领域。此外,黑客还将这些代码发布在GitLab上,任何人都可以访问。没错,它就是全球第二大开源代码托管平台,谷歌重金投资的开源独角兽。“内密密码”是如何泄露的?这些泄露的代码是由瑞士黑客TillieKottamann收集的。据专注于银行安全的BankSecurity称,其GitLab公共存储库拥有50多家公司的相关源代码。其中一家涉案公司teamapt立即展开调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。△Kottamann发布的一段银行软件代码该公司表示,该代码不包含敏感数据,不会对客户构成安全风险。TillieKottamann还告诉技术网站BLeepingComputer,由于他的公司使用了错误配置的DevOps工具,因此公开了这个公共存储库中的大部分源代码。此外,他们还探索了开源平台SonarQube的服务器。SonarQube可以提供自动代码审查和静态分析服务,帮助开发者发现代码错误和安全漏洞。Kottamann指出,有数千家公司因未能正确保护SonarQube的使用而面临暴露专有代码的风险。此外,在他的Telegram频道中,Kottamann还提供了有关其他安全漏洞的详细信息,包括泄露的任天堂代码Gigaleak——其中包含《超级马力欧世界》、《塞尔达传说:时之笛》等经典游戏的信息。一些包含硬编码认证凭证,黑客:将首先删除任天堂的泄露代码也引起了游戏行业的关注。网络安全专家、知名计算机安全软件公司ESET发言人杰克·摩尔指出,源代码的泄露可能会让网络攻击者更容易窃取公司内部的机密信息。BankSecurity还表示,其中一些源代码将包含硬编码的身份验证凭据。这相当于把你家门的钥匙丢在攻击者面前,攻击者拿到硬编码的认证凭证后攻击成本会更低。对此,Kottamann表示,他们在发布这些代码时,已经尽力排查并删除了其中存储的硬编码身份验证凭据,以免对这些公司造成直接伤害,造成更大的损失。不过,他也承认,在发布代码之前,他们并不总是与受影响的公司进行沟通。戴姆勒要求删除,有人不在乎科特曼还告诉BleepingComputer,如果企业要求删除代码,他们愿意接受,并愿意提供能够帮助这些企业加强基础设施安全的信息。例如,梅赛德斯-奔驰母公司戴姆勒的泄露代码已不在存储库中。但也有一些公司知道自己的代码被泄露了,也没有要求下架。他们更关心科特曼是如何得到密码的,称这“很有趣”。此外,科特曼指出,根据收到的DMCA删除通知的数量,以及这些公司代表与他直接联系的数量,一些公司此时可能还不知道他们的源代码已被泄露。最后,附上银行安全统计的完整列表。JohnsonControlsiLendxBancaNazionaledelLavoroLenovo-smart-display-7Adob??eFastspringGEAppliancesMercuryTFSGovCloudRecordsMyDesktopeMasurematicsBuckzyTeaAptAlphaFXCovidAppsRomeoPowerDigitalHealthDepartmentDROHealthElginIndustriesBerkeleyLightsPwneeStudiosNYNJATapwayBlocPowerCapitalTechnologyServicesLenovoAMIinsydeErobbingKaiOSAMDChenyee/GioneeDisneyMineplexDaimlerRockchipHiSiliconAukeyChunmi小米厨电子公司PUKKARobloxCorporationMicrosoftMotorolaQualcommMediatekBahwanCyber??TekCryptoSoulgmsReactMobileЦЭККМПTacticalElectronicsSiasun
