微软、迪士尼、联发科50家公司原始码外泄 史上最严重
▲50多家知名企业的原始码在网路上被曝光,灾情称史上最严重! (图/图/翻摄自网路)
外媒报导,瑞士一名开发者兼逆向工程师柯特曼(Tillie Kottmann)日前借着开发人员工具搜集发现:由于基础架构上的配置不当,来自科技、金融、零售、电影、电商、制造等行业的数十家企业公开资料库的原始码已在网路上被曝光, 受害者包括微软、迪士尼、联想、AMD、高通、摩托罗拉、华为海思、联发科、GE家电等50家知名企业,灾情堪称史上最严重!
原始码是指最初始程式的程式码,主要针对开发者,用户使用的应用程式都是经过原始码编译打包后呈现。公司专有程式码对网路创意公司来说是等于命脉,掌握编写方式,就可复制出相同的程式,或透过阅读原始码找到程式漏洞任意攻击。因此网路兴起后,世界各国都立法保护原始码。
据科技网站Bleeping Computer报导,由于DevOps应用程式的安全性不足,导致上述公司的资讯泄露无遗。柯特曼将这些原始码发布在托管平台GitLab的一个公开存储库中,并被标记为 exconfidential(绝密)、以及Confidential & Proprietary(机密&专有)。 他又在自己的推特帐户上发布指向GitLab的连结。安全专家表示:「失去对网路上原始码的控制,就像把银行的设计交给了强盗一样。」
目前,柯特曼已应部分企业的要求删除了原始码。例如 Daimler AG;联想的资料夹也已经空空如也。针对要求移除原始码的公司,柯特曼表示愿意遵守,并乐意提供资讯,「说明公司增强基础架构的安全性」。
关于原始码泄露的原因,开发团队正在卯起来寻找。柯特曼说,他们试图在发布硬编码凭证之前从公司的原始码中删除这些硬编码凭证,这些凭证通常用于创建后门程式,以免发生更加强大的安全性漏洞。
回顾柯特曼 在GitLab伺服器上发布泄漏的一些原始码可以发现:某些项目已由其原始开发人员公开发布,或者在很久以前进行了最后更新。不过,开发人员表示,有更多公司使用错误的Devops配置暴露了公司的原始程式码。