Dell、谷歌、苹果、京东、华为、小米、索尼……这份名单上几乎涵盖了全球知名企业,它们业务涵盖科技、金融、零售等多个领域。然而,如今这些企业的机密信息竟然被黑客悉数曝光在网络上。
据悉,黑客将这些内部源代码发布在了GitHub上,任何人都可以免费访问。没错,就是那个全球最大的开源代码托管平台——谷歌投资的明星平台GitLab。
「秘密的内部代码」,究竟是如何泄露的呢?
据网络安全专家透露,这些泄露的代码由我国知名黑客TillieKottamann收集。而据了解,GitLab公开存储库中至少有5多家公司的相关源代码。其中一家名为teamapt的公司进行了调查,发现泄露的代码主要是基于静态代码分析工具上的代码快照。
△Kottamann公开的一段游戏软件代码
虽然该公司声明称这些代码中不包含敏感数据,但无法排除安全隐患。TillieKottamann在接受技术网站BleepingComputer采访时表示,很多源代码暴露的原因在于其公司使用了配置错误的DevOps工具。另外,他们还对开源平台SonarQbe的服务器进行了探索。
SonarQbe是一款自动代码审核和静态分析服务,旨在帮助开发者发现代码错误和安全漏洞。Kottamann指出,由于许多企业未能妥善确保SonarQbe的安全使用,导致了大量专有代码被曝光。
在其Telegram频道中,Kottamann还提供了有关其他安全漏洞的详细信息,包括任天堂外泄的Gigaleak游戏源码——含有《超级马里奥》、《塞尔达传说:时之笛》等经典游戏信息。部分游戏源码包含硬编码认证凭据,黑客称将先对这些代码进行清洗。
网络安全专家、知名电脑安全软件公司ESET发言人JakeMoore就指出,源代码的公开可能会导致网络攻击者更容易窃取到公司内部的机密信息。而BankSecrity也表示,这些源代码里有一部分会包含硬编码的认证凭据。
这就等于把你家大门的钥匙丢到了攻击者面前,攻击者拿到硬编码的认证凭据后攻击成本会更低。
对此,Kottamann做出回应称,在发布这些代码时,他们尽量排查并删除了其中存储的硬编码认证凭据,以防止直接对这些公司造成伤害。然而,他也承认,在公布这些代码之前,他们并不总是事先与受影响的公司通气。
戴尔要求删除泄露的代码,而索尼、微软等一些企业则表示,对Kottamann是如何获取这些代码感到好奇。
此外,从收到的DMC删除通知数量以及这些公司代表与之直接联系的数量来看,可能还有一些公司尚不知晓其源代码已经泄露。
最后,附上BankSecrity统计的完整名单:
- Dell
- Apple
- JD.com
- Huawei
- Xiaomi
- Sony
- Others…
(完)
评论已关闭。