鱼羊 编译整理
量子位 报道 | 公众号 QbitAI

50多家知名公司内部源代码已经在线泄露。

Adobe、微软、迪士尼、AMD、高通、海思、小米、任天堂……均在名单之中，横跨技术、金融、零售等诸多领域。

并且，黑客还把这些代码都发布在了GitLab上，任何人都可以访问。

没错，就是那家全球第二大开源代码托管平台，谷歌重金投资加持的开源独角兽。

「隐秘的内部代码」，是如何泄露的？

这些泄露的代码由瑞士黑客Tillie Kottamann收集。

据专注于银行业安全的Bank Security统计，其GitLab公开存储库中有50多家公司的相关源代码。

其中一家涉事公司teamapt随即进行了调查，发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。

△ Kottamann公开的一段银行软件代码

该公司声明，这些代码中不包含敏感数据，不会对客户构成安全风险。

Tillie Kottamann也对技术网站BLeeping Computer表示，这个公开存储库中很多源代码暴露的原因，是其公司使用了配置错误的DevOps工具。

另外，他们也对开源平台SonarQube的服务器进行了探索。

SonarQube能够自动代码审核和静态分析服务，以帮助开发者发现代码错误和安全漏洞。

Kottamann指出，有成千上万的公司因未能妥善确保SonarQube的安全使用，而招致暴露专有代码的风险。

另外，在其Telegram频道中，Kottamann还提供了有关其他安全漏洞的详细信息，包括被称作Gigaleak的任天堂外泄代码——含有《超级马力欧世界》、《塞尔达传说：时之笛》等经典游戏信息。

部分含有硬编码认证凭据，黑客：会先删掉

任天堂外泄的代码也引发了游戏界的关注。

网络安全专家、知名电脑安全软件公司ESET发言人Jake Moore就指出：

源代码的公开，可能会导致网络攻击者更容易窃取到公司内部的机密信息。

而Bank Security也表示，这些源代码里有一部分会包含硬编码的认证凭据。

这就相当于把你家大门的钥匙丢到了攻击者面前，攻击者拿到硬编码的认证凭据后攻击成本会更低。

对此， Kottamann做出回应称，他们在发布这些代码时，尽量排查并删除了其中存储的硬编码认证凭据，以防止直接对这些公司造成伤害，引起更大的破坏。

不过，他也承认，在公布这些代码之前，他们并不总事先与受影响的公司通气。

戴勒姆要求删除，也有人不在意

Kottmann还对Bleeping Computer表示，如果公司要求删除代码，他们愿意接受，并乐意提供能够帮助这些公司增强基础架构安全性的信息。

比如，现在存储库中就不再存有奔驰母公司戴勒姆的外泄代码。

但也有一些知道自家代码泄漏的企业并没有要求撤下代码。他们比较关心Kottmann是如何获取了这些代码，并表示这“很有趣”。

另外，Kottmann指出，从收到的DMCA删除通知数量，以及这些公司的代表同他直接联系的数量来看，目前一些公司可能尚不知晓其源代码已经泄露。

最后，附上Bank Security统计的完整名单。

• Johnson Controls

• iLendx

• Banca Nazionale del Lavoro

• Lenovo-smart-display-7

• Adobe

• Fastspring

• GE Appliances

• Mercury TFS

• GovCloudRecords

• MyDesktop

• eMasurematics

• Buckzy

• TeamApt

• Alpha FX

• Covid Apps

• Romeo Power

• Digital Health Department

• DRO Health

• Elgin Industries

• Berkeley Lights

• Pwnee Studios

• NYNJA

• Tapway

• BlocPower

• Capital Technology Services

• Lenovo

• AMI

• insyde

• Erobbing

• KaiOS

• AMD

• Chenyee / Gionee

• Disney

• Mineplex

• Daimler

• Rockchip

• HiSilicon

• Aukey

• Chunmi

• Xiaomi's Kitchen Appliance Subsidiary

• PUKKA

• Roblox Corporation

• Microsoft

• Motorola

• Qualcomm

• Mediatek

• Bahwan CyberTek

• CryptoSoul

• gms

• ReactMobile

• ЦЭККМП

• Tactical Electronics

• Siasun

参考链接：
https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/
https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-2020-7
https://blog.teamapt.com/?page_id=33
https://pastebin.com/aAnaLgS8

— 完 —

本文系网易新闻•网易号特色内容激励计划签约账号【量子位】原创内容，未经账号授权，禁止随意转载。

今晚，美国NASA的火星车“毅力号”将启程前往火星，迈出人类“往返火星”第一步。

晚上19:00，跟着专家来一起来了解迄今最复杂、最大的火星车，以及它的火星任务吧！

今晚直播
专家解读NASA火星车发射

????????????

量子位 QbitAI · 头条号签约作者

վ'ᴗ' ի 追踪AI技术和产品新动态

喜欢就点「在看」吧 !