據外媒 BleepingComputer 報道,由於基礎架構配置有誤,來自技術、金融、電商、製造業等眾多領域的數十家知名公司原始碼遭到洩露。
這些公司包括微軟、Adobe、聯想,AMD、高通,摩托羅拉、海思、任天堂、迪士尼、江森自控等,而且這一名單還在不斷增長中。
其中較早曝光並引發大量關注的屬任天堂,洩露的程式碼中有不少經典遊戲的開發倉庫,包含很多遊戲原型圖,有《超級馬力歐世界》、被取消的《塞爾達 2》重製版、《超級馬力歐 64》以及《塞爾達傳說:時之笛》等等。
來自瑞士的開發者 Tillie Kottmann 透過各類第三方源收集到了這些漏洞,他自己也找到了不少 DevOps 工具中的配置錯誤,而這些工具可以用來訪問原始碼。
遭洩露的原始碼被髮布在 GitLab 上一個公開儲存庫中,並被標記為 “exconfidential” (絕密),以及 “Confidential & Proprietary”(保密&專有)。
(更新:GitLab 倉庫均已被刪除,Kottmann 現採用 telegram 群組來公佈這些資訊。)
根據安全研究人員 Bank Security 提供的資訊,該儲存庫中大約包含了超過 50 家公司的原始碼。但有一些資料夾是空的,還有一些存在硬編碼憑證——一種建立後門的方式。
Kottmann 提到,一些程式碼庫中確實存在硬編碼憑證,他在釋出前已儘可能地將其刪除,“以避免造成直接傷害或是助長更大的破壞”。另外,他也坦承自己並未在釋出前與每一家受影響的公司進行聯絡,但他們確保自己“盡了最大的努力將負面影響最小化”。
目前,Kottmann 已應部分企業的要求刪除了程式碼。例如 Daimler AG,梅賽德斯-賓士的母公司;聯想的資料夾也已經空空如也。針對有移除程式碼要求的公司,Kottmann 表示願意遵守,並樂意提供資訊,“幫助公司增強基礎架構的安全性”。
事實上,從收到的 DMCA 通知數量(估計至多 7 份)和法律代表等的聯絡來看,許多公司仍對程式碼洩露事件不知情。另有部分公司沒有撤除程式碼的意思,甚至有公司覺得“挺有趣”,只想知道 Kottmann 是如何獲得程式碼的。
此次洩露的程式碼中,有一些專案早已由其原始開發者公開發布過,或是已經有很長時間不再更新和維護。網路安全公司 ImmuniWeb 的創始人兼執行長 Ilia Kolochenko 指出,“從技術角度來看,這次的洩露並不算很嚴重……若沒有每天的支援和改進,原始碼也會迅速貶值”。
儘管如此,這樣大規模的洩露事件原因還是值得引起注意。許多公司使用錯誤的 DevOps 工具配置,引發原始碼暴露。Kottmann 及其團隊近期正在探索執行 SonarQube 的伺服器,他們發現,有成千上萬的公司由於未能正確保護 SonarQube 安裝而暴露了原始碼。
對於洩露原始碼的行為,安全專家 Jake Moore 對科技網站 Tom's Guide 表示,“失去對原始碼的控制就像將銀行藍圖交給搶劫犯一樣……受影響的網站應立即採取保護措施……若使用者在公司之前發現自己的資料遭到洩露,那無疑是在傷口上撒鹽”。
基於法律層面,Kolochenko 認為原始碼釋出者可能會因侵犯版權或違反計算機法而被起訴,但通常大型公司不會上訴,他們寧願從儲存庫中快速刪除原始碼並修復其內部 DevOps 安全流程。
為此,Kolochenko 建議“企業應修改並持續監控 DevOps 操作,將其轉換為敏捷的 DevSecOps”。
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/117529/source-code-from-dozens-of-companies-leaked
DevOps 工具配置不當,微軟、任天堂、華為海思等 50 餘家知名企業原始碼遭洩露已經有208次圍觀
