dobe、微软、迪士尼、MD、高通、海思、小米、任天堂……一场前所未有的公司官网源码泄露事件牵动着众多企业的神经。这批源码究竟是如何被盗取的？背后又隐藏着怎样的秘密？

首先，黑客将这些公司官网的源码发布在了GitLab上——谷歌投资加持的开源代码托管平台。这意味着任何人都可以访问这些敏感信息。然而，这一切背后的始作俑者，竟是瑞士黑客TillieKottamann。

据悉，TillieKottamann搜集了大量银行软件代码，其中一些公司的源码甚至包含驻留在静态代码分析工具上的快照。值得一提的是，这家公司teamapt随即进行了调查，并声明泄露的代码中不含有敏感数据，不会对客户构成安全风险。

然而，事情并没有就此结束。TillieKottamann还对技术网站BLeepingCompter表示，许多源码公开的原因，在于这些公司使用了配置错误的DevOps工具，并对开源平台SonarQbe的服务器进行了探索。SonarQbe作为一种自动代码审核和静态分析服务，旨在帮助开发者发现代码错误和安全漏洞。

根据Kottamann的观察，成千上万的公司因未能妥善确保SonarQbe的安全使用，从而暴露了专有代码的风险。此外，他在Telegram频道中还提供了关于其他安全漏洞的详细信息，如任天堂外泄的《超级马力欧世界》、《塞尔达传说：时之笛》等游戏信息。

部分含有硬编码认证凭据的源码泄露事件引起了广泛关注。网络安全专家、知名电脑安全软件公司ESET发言人JakeMoore指出，源代码的公开可能导致网络攻击者更易窃取公司内部机密信息。BankSecrity也表示，其中一些源码可能包含硬编码的认证凭据。

对于此次事件，TillieKottamann表示，发布这些代码时尽量排查并删除了其中存储的硬编码认证凭据，以防止对公司造成直接伤害。但他也承认，在公布这些代码之前，他们并不总是与受影响的公司通气。

面对公司要求删除代码的情况，Kottamann表示愿意接受，并提供帮助这些公司增强基础架构安全性的信息。目前，奔驰母公司戴勒姆的外泄代码已经被从存储库中删除。然而，也有一些企业对此置若罔闻。

值得注意的是，从收到的DMC删除通知数量以及这些公司的代表与Kottamann直接联系的数量来看，一些公司可能尚不知晓其源代码已经泄露。最后，附上BankSecrity统计的完整名单。

JohnsonControlsiLendxBancaNazionaledelLavoroLenovo-smart-display-7dobeFastspringGEppliancesMercryTFSGovClodRecordsMyDesktopeMasrematicsBckzyTeamptlphaFXCovidppsRomeoPowerDigitalHealthDepartmentDROHealthElginIndstriesBerkeleyLightsPwneeStdiosNYNJTapwayBlocPowerCapitalTechnologyServicesLenovoMIinsydeErobbingKaiOSMDChenyee/GioneeDisneyMineplexDaimlerRockchipHiSiliconkeyChnmiXiaomi’sKitchenpplianceSbsidiaryPUKKRobloxCorporationMicrosoftMotorolaQalcommMediatekBahwanCyberTekCryptoSolgmsReactMobileЦЭККМПTacticalElectronicsSiasn

在此次事件中，我们不难发现，公司的官方网站源码泄露事件并非偶然。这背后反映出的网络安全问题值得我们深思。如何加强企业内部的网络安全防护，已成为亟待解决的问题。

参考资料：

1. https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/
2. https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-7
3. https://blog.teamapt.com/?page_id=https://pastebin.com/anaLgS8