华为专利被劫
这些公司包括微软、Adobe、联想、AMD、高通、摩托罗拉、海思、任天堂、迪士尼、江森自控等等,而且这个名单还在不断增长。
来自瑞士的开发者Tillie Kottmann通过各种第三方来源收集了这些漏洞,他自己也在DevOps工具中发现了很多配置错误,可以用来访问源代码。
泄露的源代码发表在GitLab上的一个开放资源库中,并标记为“exconfidential”和“Confidential &;专有”(机密&;专有)。
(更新:GitLab仓库已全部删除,Kottmann现在使用telegram groups发布这些信息。)
根据安全研究机构Bank Security提供的信息,该存储库包含大约50家公司的源代码。但是有些文件夹是空的,有些文件夹有硬编码的凭证——这是创建后门的一种方式。
科特曼提到,一些代码库中确实存在硬编码的凭据,他在发布之前尽可能删除它们,“以避免造成直接伤害或促成更大的损害。”此外,他还承认,在发布之前,他并没有接触每一家受影响的公司,但他们确保他们“尽力将负面影响降至最低”。
目前,Kottmann已应部分企业要求删除了该代码。比如奔驰的母公司戴姆勒股份公司;联想的文件夹也已经空了。对于要求删除代码的公司,科特曼表示愿意遵守,并提供信息“帮助公司增强基础设施的安全性”。
事实上,从收到DMCA通知的数量(估计最多7个)和法人代表的接触来看,很多公司对代码泄露事件还不知情。还有一些公司无意删除代码,甚至有公司认为“很有趣”,只想知道Kottmann是怎么得到代码的。
部分泄露的代码早已被其原开发者公开发布,或者长时间没有更新维护。网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)指出,“从技术角度来看,这次泄露并不是很严重...没有日常的支持和改进,源代码会迅速贬值”。
尽管如此,如此大规模泄漏的原因仍然值得关注。很多公司使用错误的DevOps工具配置,导致源代码暴露。Kottmann和他的团队最近正在探索运行sonar cube的服务器,他们发现成千上万的公司因为未能正确保护sonar cube的安装而暴露了源代码。
关于泄露源代码的行为,安全专家杰克·摩尔(Jake Moore)对科技网站汤姆指南(Tom's Guide)表示,“失去对源代码的控制,就像把银行蓝图交给强盗一样...受影响的网站应立即采取保护措施...如果用户在公司之前发现自己的数据已经被泄露,无疑是在伤口上撒盐”。
基于法律层面,科洛琴科认为,源代码发布者可能会因侵犯版权或违反计算机法律而被起诉,但通常大公司不会上诉,他们宁愿迅速从存储库中删除源代码,并修复其内部DevOps安全流程。
为此,科洛琴科建议“企业应该修改并持续监控DevOps运营,将其变成敏捷的DevSecOps”。