广告

华为海思、高通、联想等50家公司源代码遭泄露

时间:2020-07-30 作者:网络整理 阅读:
7月29日消息,据外媒报道称,微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等50家公司的源代码被泄露在网上。遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”
广告
电子工程专辑 EE Times China -提供有关电子工程及电子设计的最新资讯和科技趋势

近日,知名游戏厂商任天堂被爆大批游戏的源代码遭到泄露,对此,业界甚至以“Gigaleak”一词形容其泄露的代码量之大。而追根溯源,这或许今年5月份任天堂遭到史上最大规模的黑客攻击有关,本次泄露的源代码包含了 Super NES、Game Boy 和 N64 平台的 Mario、Mario Kart、Zelda、F-Zero 等游戏的可编译代码和素材。

这些代码中还隐藏着许多从未发布过的预发行游戏艺术和声音文件,以及一些游戏的完全可玩的原型版本。对此,任天堂拒绝置评,不过,泄露的巨大规模及代码的复杂性暗示了该事件的真实性。

然而,一波未平一波又起,在安全领域,继任天堂之后,据外媒报道,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。值得注意的是,与任天堂遭到黑客攻击的泄露方式有所不同,这些企业的源代码泄露部分原因或源于技术设施配置操作不正确引起。

公司使用错误的Devops工具暴露代码

据外媒 Bleeping Computer 报道,相关的漏洞是由一位名为 Tillie Kottmann 的瑞士软件开发者兼逆向工程师收集完成的,他通过各种现有的第三方来源以及从配置错误的 DevOps 应用程序中积累了大量的源代码,并将这些漏洞以“exconfidential” (绝密)和“Confidential & Proprietary”(保密&专有)的名称发布在任何人都可以访问的GitLab公开存储库中。

根据安全研究人员Bank Security 提供的信息,该存储库中大约包含了超过50家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证——一种创建后门的方式。

此外,开发人员Tillie Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。

Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。

事实上,从收到的 DMCA 通知数量(估计至多 7 份)和法律代表等的联系来看,许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思,甚至有公司觉得“挺有趣”,只想知道 Kottmann 是如何获得代码的。

而关于源代码泄露的原因,开发团队也在继续寻找原因。

附源代码泄漏完整受害者列表:

Johnson Controls(江森自控)

iLendx  (联想)

Banca Nazionale del Lavoro

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances(GE电器)

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo(联想)

AMI

insyde

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

KaiOS

AMD

Chenyee / Gionee

Disney(迪士尼)

Mineplex

Daimler

Rockchip

HiSilicon(海思)

Aukey

Chunmi

Xiaomi's Kitchen Appliance Subsidiary

PUKKA

Roblox Corporation

Microsoft(微软)

Motorola(摩托罗拉)

Qualcomm(高通)

Mediatek(联发科)

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun

小结

从 Kottmann 在 GitLab 服务器上公布的部分代码显示,我们发现一些项目是由其原始开发者公开的,亦或是上一次该项目的更新早已是很久以前的事情。

不过,Kottmann 表示,仍有不少公司使用错误配置的 Devops 工具公开源代码。此外,他们也正仍在研究及探索运行着 SonarQube 的服务器,SonarQube 是一个用于自动代码审核和静态分析的开源平台,以发现 Bug 和安全漏洞。Kottmann 认为,目前有成千上万的公司由于未能正确使用及防护 SonarQube 而导致自己的私有代码泄露。

每一次源代码被公开,伴随着的都是巨大的损失。

据悉,Github网站是全球最大的代码分享社区,然而Github却经常发生一些信息泄露事件,去年,大疆前员工泄露公司源代码,深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。而这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失116.4万元人民币。

除此之外,一名为“openbilibili”的用户在Github上创建“go-common”代码库。据爆料称,该代码库为B站网站后台工程源码,其中包含大量B站用户密码。

据微博大V@互联网的那点事描述,源代码库中的用户名显示哔哩哔哩的邮箱,密码中则是“Test”+日期,应该是官方测试所用,暂未发现用户的账号密码泄露。B站未回应。

源代码泄露一事频频发生,许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”

但也有来自网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)观点相左:“从技术角度来看,泄密没什么大不了。经检查,大多数源代码都是一文不值的,除非您有其他一些技术。

此外,源代码在没有日常支持和改进的情况下会迅速贬值。因此,不择手段的竞争对手不可能获得很大的价值,除非他们只专注某款非常具体的软件。”

对此,你怎么看?

责编:Yvonne Geng

  • 写个 hello world程序,测试下电脑性能也不行吗,不要小看人奥,
  • 搞笑呢吗?联想怎么可能有源代码!
  • 跪求发链接
  • 仓库名字是啥
电子工程专辑 EE Times China -提供有关电子工程及电子设计的最新资讯和科技趋势
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • Win11要的TPM 2.0不一定是独立芯片,你的CPU固件可能已 上月底,微软正式发布了Windows 11操作系统,不少喜欢尝鲜的用户打算“就地升级”时却遇到了麻烦,他们的电脑少了一样必须的硬件支持—— TPM(Trusted Platform Module, 可信赖平台模块)2.0。什么是 TPM?为什么安装 Windows 11 会需要它?老电脑没有这个东西还能用Windows 11吗?
  • Arm v9“机密计算架构(CCA)” 初步技术规格公布,能实现 Arm发布全新Arm®v9架构的安全性功能Arm 机密计算架构(Arm Confidential Compute Architecture, Arm CCA)的初步技术规格。Arm年初推出的Armv9架构将是未来3,000亿颗基于Arm架构芯片的技术先驱,而Arm CCA将成为改变行业在应用程序中构建计算环境信任模型的处理方式……
  • 英特尔人事大变动,新设软件及图形芯片两大部门瞄准英伟 6月22日, 英特尔在其官网宣布将重组数据平台集团 (DPG),创建两个新的业务部门,分别是加速计算系统和图形部门(AXG),以及软件和先进技术部门。同时现任高管Sandra Rivera以及Raja Koduri将获得提拔、担任更重要职务。另外,科技行业资深人士Nick McKeown以及格Greg Lavender将加盟英特尔高管团队。在英特尔工作了26年的老兵、曾经的CEO候选人,DPG前执行副总裁兼总经理Navin Shenoy则将在7月6日离职……
  • 格芯40亿美元新加坡扩产,每年增加45万片300mm晶圆 6月22日,半导体制造商格芯(Global Foundries)宣布在新加坡投资超过40亿美元(折合50亿新加坡元),用于建设新300mm晶圆工厂和扩大产能。而这只是格芯近期晶圆厂扩建的三期计划中的第一个,除了新加坡外,德国德累斯顿与美国纽约厂预计将各投资10亿美元……
  • “长安链”发布全球首款96核区块链专用加速芯片 本次发布的全球首款96核区块链专用加速芯片是基于RISC-V开放指令集定制设计的专用处理器内核,核心技术自主可控。
  • 美国提高供应链预警,可能会间接打击台湾地区科技公司 在 6 月 8 日发布的一份 250 页的报告中,美国官员全面描绘了该国在四个关键领域的供应链薄弱环节。该报告的大部分内容都是针对中国大陆,但调查结果也揭示了华盛顿对中国台湾等地供应商依赖的担忧——由于与北京的敌对关系,台湾地区被认为是很脆弱的一点。
  • 新款iPad Pro 2021成最受欢迎的 由于采用性能相对强大的M1处理器和mini-LED屏幕以及更多的创新,新款iPad Pro 2021已经成为消费者心目中最受欢迎。然而,iPad 2却已经在全球范围内被列入“复古和过时”的名单中。
  • 三星折叠屏手机Galaxy Z Fold 3 目前来看,折叠屏新机作为一种新的生产力工具,逐渐成为高端/平板的一种趋势,有报料称三星的Galaxy Z Fold 3发布时间或为7月,并且会引入新手势操控。

  •  Cirrus Logic宣布同意收购Lion S Cirrus Logic近日宣布已达成协议,以3.35亿美元现金收购位于美国加利福尼亚的Lion Semiconductor。此次收购为智能手机、笔记本电脑和其他设备的电源应用带来了独特的知识产权和产品,并加速了公司高性能混合信号业务的增长。预计 Lion Semiconductor将立即增加 GAAP 和非 GAAP 每股收益,从交易完成到 2022 财年结束之间贡献约 6000 万美元的收入。
  • 2021国产IP和定制芯片生态大会成功 7月6日,2021国产IP和定制芯片生态大会在上海盛大召开,本次大会由中国高端IP和芯片定制企业芯动科技主办,是国内首个聚焦IP技术和产品合作的行业生态大会,适应了产业链上下游对合作共赢的企盼,有力助推国产自主化风口……
  • 怎么选择一款示波器?核心指标 示波器(英语:oscilloscope)是一种能够显示电压信号动态波形的电子测量仪器。它能够将时变的电压信号,转换为时间域上的曲线,原来不可见的电气信号,就此转换为在二维平面上直观可见光信号,因此能够
  • 【直播预告】Dialog ZVS方案助您以低BOM成本将100W+充电器缩小多达50% 亲爱的朋友们,Dialog半导体公司将于7月13日(周二)上午10:00-11:00举办线上研讨会,向您介绍Dialog独特的AC/DC零电压开关(ZVS)解决方案,以及该方案如何帮助您以极低的BOM
  • 禾木之变:2021我们该如何持续拥抱AI? 自2017年7月8日《新一代人工智能发展规划》印发起到今天,人工智能上升为国家战略已经来到了第五年。在此期间,我们经历了AI产业的巨大发展。人脸识别已经成为全民通用的技术;国家人工智能先导区已经增至8
  • 海内外需求同步增长,又有五家LED公司业绩报喜! 近日,海内外LED企业不断传来喜讯。在全球市场逐步复苏,照明、显示等需求持续增长的推动下,多数LED厂商的营收规模及盈利能力均实现了不同程度的改善。Cree LED营收超出预期7月7日,Cree LE
  • “特斯拉又割了我7万块” 新版Model Y来了,“韭菜”味儿的。来源 | 深燃(shenrancaijing)作者 | 黎明编辑 | 魏佳价格屠夫、油车杀手、车圈“渣男”特斯拉,又又又降价了。 7月8日,特斯拉正式
  • Q3硅料价格将小幅下探,Q4或将重回上涨通道 2021年是中国开启“碳中和”征程的元年,今年两会,“碳达峰、碳中和”概念首次写入政府工作报告,国家及各省市对于光伏行业的装机规划、能源消纳、用电补贴等方面均出台了大量政策,光伏应用市场不断利好,终端
  • 苹果、脸书入局泡沫市场,元宇宙是AR/VR的救星吗? 苹果六年憋不出个产品,Facebook卖一台亏一台,就这还能一年融资224亿的市场,别再让人失望了啊喂!来源:硅兔赛跑(ID: sv_race)作者|Eric编辑 | 梓 首图来源:网络在经
  • B站牵手阿里入股如涵,UP主里要诞生下一个李佳琦? 如涵喜提阿里B站联手入股,直播带货涌入二次元能搅起多大的浪?文 | 美股研究社B站的UP主们可能要做好直播带货的准备了。来自企查查的信息显示,从纳斯达克退市两个多月的“网红第一股”如涵文化近期新增了以
  • 【案例】南山图书馆智能书库AGV应用 此项目采用智能仓储、堆垛机、穿梭车、AGV机器人技术,实现图书的高密度存储和高效率分拣 文|凯乐士深圳南山图书馆,是深圳南山区标志性的文化建筑之一。图书馆占地面积13700平方米,馆舍建筑面
  • 一个“言语粗俗”的李想,如何撑起理想的高端化? 不利于理想汽车高端化发展的定位。文 | 李平来源 | 砺石商业评论“造谣我们用水银的人和媒体,祝愿你们血液里流动着水银,脑子里装满了水银!” 一场突如其来的“水银门”事件,再次让理想汽车与其
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了