微软、海思、任天堂等50多家知名公司源代码泄露,人人均可公开访问
鱼羊 编译整理
量子位 报道 | 公众号 QbitAI
50多家知名公司内部源代码已经在线泄露。
Adobe、微软、迪士尼、AMD、高通、海思、小米、任天堂……均在名单之中,横跨技术、金融、零售等诸多领域。
并且,黑客还把这些代码都发布在了GitLab上,任何人都可以访问。
没错,就是那家全球第二大开源代码托管平台,谷歌重金投资加持的开源独角兽。
「隐秘的内部代码」,是如何泄露的?
这些泄露的代码由瑞士黑客Tillie Kottamann收集。
据专注于银行业安全的Bank Security统计,其GitLab公开存储库中有50多家公司的相关源代码。
其中一家涉事公司teamapt随即进行了调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。
△ Kottamann公开的一段银行软件代码
该公司声明,这些代码中不包含敏感数据,不会对客户构成安全风险。
Tillie Kottamann也对技术网站BLeeping Computer表示,这个公开存储库中很多源代码暴露的原因,是其公司使用了配置错误的DevOps工具。
另外,他们也对开源平台SonarQube的服务器进行了探索。
SonarQube能够自动代码审核和静态分析服务,以帮助开发者发现代码错误和安全漏洞。
Kottamann指出,有成千上万的公司因未能妥善确保SonarQube的安全使用,而招致暴露专有代码的风险。
另外,在其Telegram频道中,Kottamann还提供了有关其他安全漏洞的详细信息,包括被称作Gigaleak的任天堂外泄代码——含有《超级马力欧世界》、《塞尔达传说:时之笛》等经典游戏信息。
部分含有硬编码认证凭据,黑客:会先删掉
任天堂外泄的代码也引发了游戏界的关注。
网络安全专家、知名电脑安全软件公司ESET发言人Jake Moore就指出:
源代码的公开,可能会导致网络攻击者更容易窃取到公司内部的机密信息。
而Bank Security也表示,这些源代码里有一部分会包含硬编码的认证凭据。
这就相当于把你家大门的钥匙丢到了攻击者面前,攻击者拿到硬编码的认证凭据后攻击成本会更低。
对此, Kottamann做出回应称,他们在发布这些代码时,尽量排查并删除了其中存储的硬编码认证凭据,以防止直接对这些公司造成伤害,引起更大的破坏。
不过,他也承认,在公布这些代码之前,他们并不总事先与受影响的公司通气。
戴勒姆要求删除,也有人不在意
Kottmann还对Bleeping Computer表示,如果公司要求删除代码,他们愿意接受,并乐意提供能够帮助这些公司增强基础架构安全性的信息。
比如,现在存储库中就不再存有奔驰母公司戴勒姆的外泄代码。
但也有一些知道自家代码泄漏的企业并没有要求撤下代码。他们比较关心Kottmann是如何获取了这些代码,并表示这“很有趣”。
另外,Kottmann指出,从收到的DMCA删除通知数量,以及这些公司的代表同他直接联系的数量来看,目前一些公司可能尚不知晓其源代码已经泄露。
最后,附上Bank Security统计的完整名单。
Johnson Controls
iLendx
Banca Nazionale del Lavoro
Lenovo-smart-display-7
Adobe
Fastspring
GE Appliances
Mercury TFS
GovCloudRecords
MyDesktop
eMasurematics
Buckzy
TeamApt
Alpha FX
Covid Apps
Romeo Power
Digital Health Department
DRO Health
Elgin Industries
Berkeley Lights
Pwnee Studios
NYNJA
Tapway
BlocPower
Capital Technology Services
Lenovo
AMI
insyde
Erobbing
KaiOS
AMD
Chenyee / Gionee
Disney
Mineplex
Daimler
Rockchip
HiSilicon
Aukey
Chunmi
Xiaomi's Kitchen Appliance Subsidiary
PUKKA
Roblox Corporation
Microsoft
Motorola
Qualcomm
Mediatek
Bahwan CyberTek
CryptoSoul
gms
ReactMobile
ЦЭККМП
Tactical Electronics
Siasun
参考链接:
https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/
https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-2020-7
https://blog.teamapt.com/?page_id=33
https://pastebin.com/aAnaLgS8
— 完 —
本文系网易新闻•网易号特色内容激励计划签约账号【量子位】原创内容,未经账号授权,禁止随意转载。
今晚,美国NASA的火星车“毅力号”将启程前往火星,迈出人类“往返火星”第一步。
晚上19:00,跟着专家来一起来了解迄今最复杂、最大的火星车,以及它的火星任务吧!
今晚直播
专家解读NASA火星车发射
????????????
量子位 QbitAI · 头条号签约作者
վ'ᴗ' ի 追踪AI技术和产品新动态
喜欢就点「在看」吧 !
微软、海思、任天堂等50多家知名公司源代码泄露,人人均可公开访问相关推荐
- DevOps 工具配置不当,微软、任天堂、华为海思等 50 余家知名企业源码遭泄露...
点击上方"程序猿技术大咖",关注加群讨论 据外媒 BleepingComputer 报道,由于基础架构配置有误,来自技术.金融.电商.制造业等众多领域的数十家知名公司源码遭到泄露. ...
- DevOps也要考虑安全问题:微软、任天堂等知名公司源码遭泄露
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 来源 | https://www.oschina.net ...
- 华为海思年内恐超越联发科 成亚洲最大芯片设计公司
随着华为智能手机销量迈向2亿的目标,旗下的海思半导体也跟着快速成长,特别是今年抢先推出了7nm工艺的麒麟980处理器,也是目前仅有的两款7nm处理器.得益于此,海思在代工厂台积电中的地位也会升级,预计 ...
- 华为海思总裁:压在保密柜里面的芯片可以拿出来了
(原标题:华为海思总裁谈美国封堵:曾经打造的备胎,一夜之间全部转正) 作者 | 周玲 来源 | 澎湃新闻 针对美国商务部工业和安全局(BIS)把华为列入"实体名单",5月17日凌晨 ...
- IC设计基础系列之芯片设计流程3:国内IC设计公司没技术含量?海思员工第一个不服
来自:http://www.eefocus.com/mcu-dsp/370656/r0 近年来,随着ARM的走红,ARM独特的授权模式也帮助越来越多的中国芯片产业成长起来.尤其是华为海思的成长,更是让 ...
- 华为鸿蒙电视销量,华为电视将采用纯国产方案:京东方面板+海思芯片+鸿蒙系统...
华为电视被有人称作未来第一个国家队产品:京东方面板+海思芯片+鸿蒙系统.目前来看确实如此,很多人其实不了解华为,在电视领域方面的积累也是非常多的,据任正非透露,三星包括索尼等等8k电视方面的软硬件层面 ...
- 微软、华为海思、高通等 50 家公司源代码被泄露!
一个木桶的盛水量,是由最短的那块板决定的.在安全领域,什么才是那条短板?亦或是人,亦或是工具. 整理 | 屠敏 出品 | CSDN(ID:CSDNnews) 一场场代码泄露事件的发生将安全问题再次推进 ...
- 华为:海思坚持研发尖端半导体,不会进行任何重组或裁员;荣耀50即将发布,预约人数破百万;Grafana 8.0发布|极客头条...
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 梦依丹 出品 | CSDN(ID:CSDNnews ...
- 传海思为 PC 开发 CPU/GPU ;小米将发布第二款 5G 手机;Firefox 68.0.2 发布 | 极客头条...
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
最新文章
- php 判断PC 还是 telphone 访问网站
- BeanFactory 和ApplicationContext 有什么区别?
- syslog()的基本用法
- UTF-8笔记170330
- 简述园路的功能作用_智能式多功能电表解析
- MySQL 无法连接
- CF388D-Fox and Perfect Sets【dp,线性基】
- php7 iis10 mysql_Windows Server 2019 IIS10.0+PHP(FastCGI)+MySQL环境搭建教程
- 短信接口防盗刷解决方案
- GNS3思科模拟器详细安装教程附下载链接
- Sparksql练习题
- vue、四级联动(省市区街道)
- EXPLOITING CVE-2016-2060 ON QUALCOMM DEVICES
- Cannot halt the core解决方法
- 区块链在供应链金融中的应用分析
- PO:通过Floder限制订单汇总中采购单价及金额栏位
- 上楼梯问题+不死兔子
- python小游戏毕设 俄罗斯方块小游戏设计与实现 (源码)
- java内置监视管理控制台
- 操作系统 - - 生产者—消费者问题(PV操作)代码显示
热门文章
- 为什么在C#中捕获并抛出异常?
- 如何在Visual Studio中“添加现有项”整个目录结构?
- 带你一分钟理解闭包--js面向对象编程
- Facebook 对前端工程师的要求是啥?一起来看看
- Java架构-(十) 整合spring cloud云架构 - SSO单点登录之OAuth2.0登录认证(1)
- 简单验证码识别 tessnet2
- wince注册表结构
- Microsoft MSDN Windows 8 各版本下载
- c语言tcp硬时事通讯程序代码,使用C语言编写基于TCP协议的Socket通讯程序实例分享...
- dede扩展数据类型_数据类型,扩展