广告

华为海思、高通、联想等50家公司源代码遭泄露

时间:2020-07-30 作者:网络整理 阅读:
7月29日消息,据外媒报道称,微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等50家公司的源代码被泄露在网上。遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”
广告
ASPENCORE

近日,知名游戏厂商任天堂被爆大批游戏的源代码遭到泄露,对此,业界甚至以“Gigaleak”一词形容其泄露的代码量之大。而追根溯源,这或许今年5月份任天堂遭到史上最大规模的黑客攻击有关,本次泄露的源代码包含了 Super NES、Game Boy 和 N64 平台的 Mario、Mario Kart、Zelda、F-Zero 等游戏的可编译代码和素材。NrOEETC-电子工程专辑

这些代码中还隐藏着许多从未发布过的预发行游戏艺术和声音文件,以及一些游戏的完全可玩的原型版本。对此,任天堂拒绝置评,不过,泄露的巨大规模及代码的复杂性暗示了该事件的真实性。NrOEETC-电子工程专辑

然而,一波未平一波又起,在安全领域,继任天堂之后,据外媒报道,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。值得注意的是,与任天堂遭到黑客攻击的泄露方式有所不同,这些企业的源代码泄露部分原因或源于技术设施配置操作不正确引起。NrOEETC-电子工程专辑

公司使用错误的Devops工具暴露代码

据外媒 Bleeping Computer 报道,相关的漏洞是由一位名为 Tillie Kottmann 的瑞士软件开发者兼逆向工程师收集完成的,他通过各种现有的第三方来源以及从配置错误的 DevOps 应用程序中积累了大量的源代码,并将这些漏洞以“exconfidential” (绝密)和“Confidential & Proprietary”(保密&专有)的名称发布在任何人都可以访问的GitLab公开存储库中。NrOEETC-电子工程专辑

NrOEETC-电子工程专辑

根据安全研究人员Bank Security 提供的信息,该存储库中大约包含了超过50家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证——一种创建后门的方式。NrOEETC-电子工程专辑

此外,开发人员Tillie Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。NrOEETC-电子工程专辑

Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”NrOEETC-电子工程专辑

NrOEETC-电子工程专辑

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。NrOEETC-电子工程专辑

事实上,从收到的 DMCA 通知数量(估计至多 7 份)和法律代表等的联系来看,许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思,甚至有公司觉得“挺有趣”,只想知道 Kottmann 是如何获得代码的。NrOEETC-电子工程专辑

NrOEETC-电子工程专辑

而关于源代码泄露的原因,开发团队也在继续寻找原因。NrOEETC-电子工程专辑

附源代码泄漏完整受害者列表:

Johnson Controls(江森自控)NrOEETC-电子工程专辑

iLendx  (联想)NrOEETC-电子工程专辑

Banca Nazionale del LavoroNrOEETC-电子工程专辑

Lenovo-smart-display-7NrOEETC-电子工程专辑

AdobeNrOEETC-电子工程专辑

FastspringNrOEETC-电子工程专辑

GE Appliances(GE电器)NrOEETC-电子工程专辑

Mercury TFSNrOEETC-电子工程专辑

GovCloudRecordsNrOEETC-电子工程专辑

MyDesktopNrOEETC-电子工程专辑

eMasurematicsNrOEETC-电子工程专辑

BuckzyNrOEETC-电子工程专辑

TeamAptNrOEETC-电子工程专辑

Alpha FXNrOEETC-电子工程专辑

Covid AppsNrOEETC-电子工程专辑

Romeo PowerNrOEETC-电子工程专辑

Digital Health DepartmentNrOEETC-电子工程专辑

DRO HealthNrOEETC-电子工程专辑

Elgin IndustriesNrOEETC-电子工程专辑

Berkeley LightsNrOEETC-电子工程专辑

Pwnee StudiosNrOEETC-电子工程专辑

NYNJANrOEETC-电子工程专辑

TapwayNrOEETC-电子工程专辑

BlocPowerNrOEETC-电子工程专辑

Capital Technology ServicesNrOEETC-电子工程专辑

Lenovo(联想)NrOEETC-电子工程专辑

AMINrOEETC-电子工程专辑

insydeNrOEETC-电子工程专辑

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/NrOEETC-电子工程专辑

KaiOSNrOEETC-电子工程专辑

AMDNrOEETC-电子工程专辑

Chenyee / GioneeNrOEETC-电子工程专辑

Disney(迪士尼)NrOEETC-电子工程专辑

MineplexNrOEETC-电子工程专辑

DaimlerNrOEETC-电子工程专辑

RockchipNrOEETC-电子工程专辑

HiSilicon(海思)NrOEETC-电子工程专辑

AukeyNrOEETC-电子工程专辑

ChunmiNrOEETC-电子工程专辑

Xiaomi's Kitchen Appliance SubsidiaryNrOEETC-电子工程专辑

PUKKANrOEETC-电子工程专辑

Roblox CorporationNrOEETC-电子工程专辑

Microsoft(微软)NrOEETC-电子工程专辑

Motorola(摩托罗拉)NrOEETC-电子工程专辑

Qualcomm(高通)NrOEETC-电子工程专辑

Mediatek(联发科)NrOEETC-电子工程专辑

Bahwan CyberTekNrOEETC-电子工程专辑

CryptoSoulNrOEETC-电子工程专辑

gmsNrOEETC-电子工程专辑

ReactMobileNrOEETC-电子工程专辑

ЦЭККМПNrOEETC-电子工程专辑

Tactical ElectronicsNrOEETC-电子工程专辑

SiasunNrOEETC-电子工程专辑

小结

从 Kottmann 在 GitLab 服务器上公布的部分代码显示,我们发现一些项目是由其原始开发者公开的,亦或是上一次该项目的更新早已是很久以前的事情。NrOEETC-电子工程专辑

不过,Kottmann 表示,仍有不少公司使用错误配置的 Devops 工具公开源代码。此外,他们也正仍在研究及探索运行着 SonarQube 的服务器,SonarQube 是一个用于自动代码审核和静态分析的开源平台,以发现 Bug 和安全漏洞。Kottmann 认为,目前有成千上万的公司由于未能正确使用及防护 SonarQube 而导致自己的私有代码泄露。NrOEETC-电子工程专辑

每一次源代码被公开,伴随着的都是巨大的损失。NrOEETC-电子工程专辑

据悉,Github网站是全球最大的代码分享社区,然而Github却经常发生一些信息泄露事件,去年,大疆前员工泄露公司源代码,深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。而这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失116.4万元人民币。NrOEETC-电子工程专辑

除此之外,一名为“openbilibili”的用户在Github上创建“go-common”代码库。据爆料称,该代码库为B站网站后台工程源码,其中包含大量B站用户密码。NrOEETC-电子工程专辑

据微博大V@互联网的那点事描述,源代码库中的用户名显示哔哩哔哩的邮箱,密码中则是“Test”+日期,应该是官方测试所用,暂未发现用户的账号密码泄露。B站未回应。NrOEETC-电子工程专辑

源代码泄露一事频频发生,许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”NrOEETC-电子工程专辑

但也有来自网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)观点相左:“从技术角度来看,泄密没什么大不了。经检查,大多数源代码都是一文不值的,除非您有其他一些技术。NrOEETC-电子工程专辑

此外,源代码在没有日常支持和改进的情况下会迅速贬值。因此,不择手段的竞争对手不可能获得很大的价值,除非他们只专注某款非常具体的软件。”NrOEETC-电子工程专辑

对此,你怎么看?NrOEETC-电子工程专辑

责编:Yvonne GengNrOEETC-电子工程专辑

ASPENCORE
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 为工业4.0的到来,厂商们需要做好哪些准备? 我们目前正处在第四次工业革命(工业4.0)的开始,工业4.0基于根深蒂固的创建智能基础架构原则,可优化制造流程,并显著提高生产效率。并且基础设施将在很大程度上取决于通过物理网络系统(CPS)和人工智能(AI)算法来驱动和控制的物联网(IoT)设备。
  • 最严技术工作签证(H1B)限制令发布,醒醒吧你的美国梦 10月7日,特朗普政府发布两项严格限制H-1B(技术工作签证)的新规,堪称 20 年来最严政策,让大批中国留学生叫苦不迭。在H-1B签证新规下,雇主需要对海外人才雇工支付更高的工资,表面看似留美就业将获得更高的收入,但事实上将促使许多在美就业的海外人员被迫离开。
  • 英国称发现“华为勾结中国政府”证据,或提前拆除设备 今年7月份,英国政府正式就华为一事表态,要求当地电信运营商从2021年起停止从这家中国公司采购5G设备,同时宣布将于2027年前从英国5G网络中彻底移除华为的技术。但根据路透社援引的一份最新报告指出,这一时间可能会提前……
  • 实现全面性数据安全不可少的“它”… 因为新冠病毒肺炎疫情导致远程工作与联机需求激增,也意味着保卫资安变得更重要、甚至更具挑战性,特别是包括5G在内的跨通讯基础建设数据分享等新兴使用案例。在此同时,安全性功能会为内存设计增添复杂度。
  • 运用可扩展多核处理器满足嵌入式应用日益增长的性能需 下一代嵌入式应用需要对大型CPU集群和专用硬件加速器提供可扩展的支持,以实现所需的性能。大型多核处理器需要新的架构方法来提供更高的性能,并且不会给嵌入式设计者带来其他实现和时序收敛问题。
  • 反转!北航学者被控窃取代码在美被捕,检方撤诉 胡海洲在弗吉尼亚大学研究的是仿生学和流体动力学,8月25日,现年34岁的胡海洲在芝加哥奥哈拉国际机场准备飞往中国青岛时被捕。他在过海关的时候,计算机里有他所有的研究数据,他准备一起带回国,随后他被指控窃取商业秘密。在校方承认这位研究人员有授权获取其中某些内容后,检方撤销了所有指控。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了