广告

华为海思、高通、联想等50家公司源代码遭泄露

时间:2020-07-30 作者:网络整理 阅读:
7月29日消息,据外媒报道称,微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等50家公司的源代码被泄露在网上。遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”
广告
ASPENCORE

近日,知名游戏厂商任天堂被爆大批游戏的源代码遭到泄露,对此,业界甚至以“Gigaleak”一词形容其泄露的代码量之大。而追根溯源,这或许今年5月份任天堂遭到史上最大规模的黑客攻击有关,本次泄露的源代码包含了 Super NES、Game Boy 和 N64 平台的 Mario、Mario Kart、Zelda、F-Zero 等游戏的可编译代码和素材。nuqEETC-电子工程专辑

这些代码中还隐藏着许多从未发布过的预发行游戏艺术和声音文件,以及一些游戏的完全可玩的原型版本。对此,任天堂拒绝置评,不过,泄露的巨大规模及代码的复杂性暗示了该事件的真实性。nuqEETC-电子工程专辑

然而,一波未平一波又起,在安全领域,继任天堂之后,据外媒报道,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。值得注意的是,与任天堂遭到黑客攻击的泄露方式有所不同,这些企业的源代码泄露部分原因或源于技术设施配置操作不正确引起。nuqEETC-电子工程专辑

公司使用错误的Devops工具暴露代码

据外媒 Bleeping Computer 报道,相关的漏洞是由一位名为 Tillie Kottmann 的瑞士软件开发者兼逆向工程师收集完成的,他通过各种现有的第三方来源以及从配置错误的 DevOps 应用程序中积累了大量的源代码,并将这些漏洞以“exconfidential” (绝密)和“Confidential & Proprietary”(保密&专有)的名称发布在任何人都可以访问的GitLab公开存储库中。nuqEETC-电子工程专辑

nuqEETC-电子工程专辑

根据安全研究人员Bank Security 提供的信息,该存储库中大约包含了超过50家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证——一种创建后门的方式。nuqEETC-电子工程专辑

此外,开发人员Tillie Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。nuqEETC-电子工程专辑

Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”nuqEETC-电子工程专辑

nuqEETC-电子工程专辑

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。nuqEETC-电子工程专辑

事实上,从收到的 DMCA 通知数量(估计至多 7 份)和法律代表等的联系来看,许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思,甚至有公司觉得“挺有趣”,只想知道 Kottmann 是如何获得代码的。nuqEETC-电子工程专辑

nuqEETC-电子工程专辑

而关于源代码泄露的原因,开发团队也在继续寻找原因。nuqEETC-电子工程专辑

附源代码泄漏完整受害者列表:

Johnson Controls(江森自控)nuqEETC-电子工程专辑

iLendx  (联想)nuqEETC-电子工程专辑

Banca Nazionale del LavoronuqEETC-电子工程专辑

Lenovo-smart-display-7nuqEETC-电子工程专辑

AdobenuqEETC-电子工程专辑

FastspringnuqEETC-电子工程专辑

GE Appliances(GE电器)nuqEETC-电子工程专辑

Mercury TFSnuqEETC-电子工程专辑

GovCloudRecordsnuqEETC-电子工程专辑

MyDesktopnuqEETC-电子工程专辑

eMasurematicsnuqEETC-电子工程专辑

BuckzynuqEETC-电子工程专辑

TeamAptnuqEETC-电子工程专辑

Alpha FXnuqEETC-电子工程专辑

Covid AppsnuqEETC-电子工程专辑

Romeo PowernuqEETC-电子工程专辑

Digital Health DepartmentnuqEETC-电子工程专辑

DRO HealthnuqEETC-电子工程专辑

Elgin IndustriesnuqEETC-电子工程专辑

Berkeley LightsnuqEETC-电子工程专辑

Pwnee StudiosnuqEETC-电子工程专辑

NYNJAnuqEETC-电子工程专辑

TapwaynuqEETC-电子工程专辑

BlocPowernuqEETC-电子工程专辑

Capital Technology ServicesnuqEETC-电子工程专辑

Lenovo(联想)nuqEETC-电子工程专辑

AMInuqEETC-电子工程专辑

insydenuqEETC-电子工程专辑

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/nuqEETC-电子工程专辑

KaiOSnuqEETC-电子工程专辑

AMDnuqEETC-电子工程专辑

Chenyee / GioneenuqEETC-电子工程专辑

Disney(迪士尼)nuqEETC-电子工程专辑

MineplexnuqEETC-电子工程专辑

DaimlernuqEETC-电子工程专辑

RockchipnuqEETC-电子工程专辑

HiSilicon(海思)nuqEETC-电子工程专辑

AukeynuqEETC-电子工程专辑

ChunminuqEETC-电子工程专辑

Xiaomi's Kitchen Appliance SubsidiarynuqEETC-电子工程专辑

PUKKAnuqEETC-电子工程专辑

Roblox CorporationnuqEETC-电子工程专辑

Microsoft(微软)nuqEETC-电子工程专辑

Motorola(摩托罗拉)nuqEETC-电子工程专辑

Qualcomm(高通)nuqEETC-电子工程专辑

Mediatek(联发科)nuqEETC-电子工程专辑

Bahwan CyberTeknuqEETC-电子工程专辑

CryptoSoulnuqEETC-电子工程专辑

gmsnuqEETC-电子工程专辑

ReactMobilenuqEETC-电子工程专辑

ЦЭККМПnuqEETC-电子工程专辑

Tactical ElectronicsnuqEETC-电子工程专辑

SiasunnuqEETC-电子工程专辑

小结

从 Kottmann 在 GitLab 服务器上公布的部分代码显示,我们发现一些项目是由其原始开发者公开的,亦或是上一次该项目的更新早已是很久以前的事情。nuqEETC-电子工程专辑

不过,Kottmann 表示,仍有不少公司使用错误配置的 Devops 工具公开源代码。此外,他们也正仍在研究及探索运行着 SonarQube 的服务器,SonarQube 是一个用于自动代码审核和静态分析的开源平台,以发现 Bug 和安全漏洞。Kottmann 认为,目前有成千上万的公司由于未能正确使用及防护 SonarQube 而导致自己的私有代码泄露。nuqEETC-电子工程专辑

每一次源代码被公开,伴随着的都是巨大的损失。nuqEETC-电子工程专辑

据悉,Github网站是全球最大的代码分享社区,然而Github却经常发生一些信息泄露事件,去年,大疆前员工泄露公司源代码,深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。而这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失116.4万元人民币。nuqEETC-电子工程专辑

除此之外,一名为“openbilibili”的用户在Github上创建“go-common”代码库。据爆料称,该代码库为B站网站后台工程源码,其中包含大量B站用户密码。nuqEETC-电子工程专辑

据微博大V@互联网的那点事描述,源代码库中的用户名显示哔哩哔哩的邮箱,密码中则是“Test”+日期,应该是官方测试所用,暂未发现用户的账号密码泄露。B站未回应。nuqEETC-电子工程专辑

源代码泄露一事频频发生,许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”nuqEETC-电子工程专辑

但也有来自网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)观点相左:“从技术角度来看,泄密没什么大不了。经检查,大多数源代码都是一文不值的,除非您有其他一些技术。nuqEETC-电子工程专辑

此外,源代码在没有日常支持和改进的情况下会迅速贬值。因此,不择手段的竞争对手不可能获得很大的价值,除非他们只专注某款非常具体的软件。”nuqEETC-电子工程专辑

对此,你怎么看?nuqEETC-电子工程专辑

责编:Yvonne GengnuqEETC-电子工程专辑

ASPENCORE
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 华为阿里员工跳槽微软,被要求停止无意义加班?内部人士辟 有媒体报道称,一批从华为、阿里跳槽到微软的员工,遭到了原有团队的抵制。据悉这是微软苏州某team的一次自发行为,他们表示,由于华为和阿里来的员工时常“比赛加班”,甚至“半夜在工作群互@发消息”,给团队带来了国内互联网企业的加班文化,破坏规则,恶性竞争……
  • 关于LoRa和工信部52号文,这篇文章回答了所有疑问 2019年11月,中国工业和信息化部发布了2019年第52号公告,对微功率设备生产、进口、销售和使用进行了规范。公告发出后,有人认为这是在封杀LoRa,有人认为对LoRa有利,因为它其实是在规范化管理未来的物联网无线技术频谱。作为LoRa核心技术及芯片供应商,Semtech近日发布了官方“LoRa Q&A问答文档”……
  • 美国“5G干净网络列表”显示已有24家运营商弃用华为 目前,包括英国、捷克、波兰、瑞典、爱沙尼亚、罗马尼亚、丹麦和拉脱维亚8个国家已选择只允许可信的供应商参与5G网络建设,另外,希腊也已同意使用爱立信而不是华为的技术开发5G基础设施。
  • 远程工作成常态,再忽视云端网络安全就弱了! 远程工作者数量越来越多,而且开始看起来不只是个临时现象。这个趋势加速了朝云端服务的持续转移,有助于解决因为攻击面扩张以致大幅增加的网络安全问题,不过同时也衍生新的安全性问题。
  • 半年6600万5G终端入网,工信部:严禁未经用户同意强开5G套 上半年我国新建5G基站25.7万个,目前国内每周平均新开通的5G基站都超过1.5万个,到6月底三大运营商在全国开通的5G基站已超过40万个。目前国内已有197款5G终端拿到了入网许可,截至6月底,国内已经联网使用的5G终端数有6600多万部。但一些运营商在面对5G考核指标时,出现在用户不知情或不愿意的情况下,强制升级5G套餐、要求办理5G融合业务现象……
  • 华为印度今年营收下调50%,裁员60-70%?回应来了 据印媒《经济时报》,几名知情人士透露,华为下调2020年在印度的收入目标至多50%,并将裁员60-70%,但不包括研发和全球服务中心的员工。针对传言,华为印度公司27日晚间回应……
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了