快乐十分宁夏app

广告

华为海思、高通、联想等50家公司源代码遭泄露

时间:2021-07-30 作者:网络整理 阅读:
7月29日消息,据外媒报道称,微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等50家公司的源代码被泄露在网上。遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”
广告
ASPENCORE

近日,知名游戏厂商任天堂被爆大批游戏的源代码遭到泄露,对此,业界甚至以“Gigaleak”一词形容其泄露的代码量之大。而追根溯源,这或许今年5月份任天堂遭到史上最大规模的黑客攻击有关,本次泄露的源代码包含了 Super NES、Game Boy 和 N64 平台的 Mario、Mario Kart、Zelda、F-Zero 等游戏的可编译代码和素材。d7OEETC-电子工程专辑

这些代码中还隐藏着许多从未发布过的预发行游戏艺术和声音文件,以及一些游戏的完全可玩的原型版本。对此,任天堂拒绝置评,不过,泄露的巨大规模及代码的复杂性暗示了该事件的真实性。d7OEETC-电子工程专辑

然而,一波未平一波又起,在安全领域,继任天堂之后,据外媒报道,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。值得注意的是,与任天堂遭到黑客攻击的泄露方式有所不同,这些企业的源代码泄露部分原因或源于技术设施配置操作不正确引起。d7OEETC-电子工程专辑

公司使用错误的Devops工具暴露代码

据外媒 Bleeping Computer 报道,相关的漏洞是由一位名为 Tillie Kottmann 的瑞士软件开发者兼逆向工程师收集完成的,他通过各种现有的第三方来源以及从配置错误的 DevOps 应用程序中积累了大量的源代码,并将这些漏洞以“exconfidential” (绝密)和“Confidential & Proprietary”(保密&专有)的名称发布在任何人都可以访问的GitLab公开存储库中。d7OEETC-电子工程专辑

d7OEETC-电子工程专辑

根据安全研究人员Bank Security 提供的信息,该存储库中大约包含了超过50家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证——一种创建后门的方式。d7OEETC-电子工程专辑

此外,开发人员Tillie Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。d7OEETC-电子工程专辑

Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”d7OEETC-电子工程专辑

d7OEETC-电子工程专辑

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。d7OEETC-电子工程专辑

事实上,从收到的 DMCA 通知数量(估计至多 7 份)和法律代表等的联系来看,许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思,甚至有公司觉得“挺有趣”,只想知道 Kottmann 是如何获得代码的。d7OEETC-电子工程专辑

d7OEETC-电子工程专辑

而关于源代码泄露的原因,开发团队也在继续寻找原因。d7OEETC-电子工程专辑

附源代码泄漏完整受害者列表:

Johnson Controls(江森自控)d7OEETC-电子工程专辑

iLendx  (联想)d7OEETC-电子工程专辑

Banca Nazionale del Lavorod7OEETC-电子工程专辑

Lenovo-smart-display-7d7OEETC-电子工程专辑

Adobed7OEETC-电子工程专辑

Fastspringd7OEETC-电子工程专辑

GE Appliances(GE电器)d7OEETC-电子工程专辑

Mercury TFSd7OEETC-电子工程专辑

GovCloudRecordsd7OEETC-电子工程专辑

MyDesktopd7OEETC-电子工程专辑

eMasurematicsd7OEETC-电子工程专辑

Buckzyd7OEETC-电子工程专辑

TeamAptd7OEETC-电子工程专辑

Alpha FXd7OEETC-电子工程专辑

Covid Appsd7OEETC-电子工程专辑

Romeo Powerd7OEETC-电子工程专辑

Digital Health Departmentd7OEETC-电子工程专辑

DRO Healthd7OEETC-电子工程专辑

Elgin Industriesd7OEETC-电子工程专辑

Berkeley Lightsd7OEETC-电子工程专辑

Pwnee Studiosd7OEETC-电子工程专辑

NYNJAd7OEETC-电子工程专辑

Tapwayd7OEETC-电子工程专辑

BlocPowerd7OEETC-电子工程专辑

Capital Technology Servicesd7OEETC-电子工程专辑

Lenovo(联想)d7OEETC-电子工程专辑

AMId7OEETC-电子工程专辑

insyded7OEETC-电子工程专辑

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/d7OEETC-电子工程专辑

KaiOSd7OEETC-电子工程专辑

AMDd7OEETC-电子工程专辑

Chenyee / Gioneed7OEETC-电子工程专辑

Disney(迪士尼)d7OEETC-电子工程专辑

Mineplexd7OEETC-电子工程专辑

Daimlerd7OEETC-电子工程专辑

Rockchipd7OEETC-电子工程专辑

HiSilicon(海思)d7OEETC-电子工程专辑

Aukeyd7OEETC-电子工程专辑

Chunmid7OEETC-电子工程专辑

Xiaomi's Kitchen Appliance Subsidiaryd7OEETC-电子工程专辑

PUKKAd7OEETC-电子工程专辑

Roblox Corporationd7OEETC-电子工程专辑

Microsoft(微软)d7OEETC-电子工程专辑

Motorola(摩托罗拉)d7OEETC-电子工程专辑

Qualcomm(高通)d7OEETC-电子工程专辑

Mediatek(联发科)d7OEETC-电子工程专辑

Bahwan CyberTekd7OEETC-电子工程专辑

CryptoSould7OEETC-电子工程专辑

gmsd7OEETC-电子工程专辑

ReactMobiled7OEETC-电子工程专辑

ЦЭККМПd7OEETC-电子工程专辑

Tactical Electronicsd7OEETC-电子工程专辑

Siasund7OEETC-电子工程专辑

小结

从 Kottmann 在 GitLab 服务器上公布的部分代码显示,我们发现一些项目是由其原始开发者公开的,亦或是上一次该项目的更新早已是很久以前的事情。d7OEETC-电子工程专辑

不过,Kottmann 表示,仍有不少公司使用错误配置的 Devops 工具公开源代码。此外,他们也正仍在研究及探索运行着 SonarQube 的服务器,SonarQube 是一个用于自动代码审核和静态分析的开源平台,以发现 Bug 和安全漏洞。Kottmann 认为,目前有成千上万的公司由于未能正确使用及防护 SonarQube 而导致自己的私有代码泄露。d7OEETC-电子工程专辑

每一次源代码被公开,伴随着的都是巨大的损失。d7OEETC-电子工程专辑

据悉,Github网站是全球最大的代码分享社区,然而Github却经常发生一些信息泄露事件,去年,大疆前员工泄露公司源代码,深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。而这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失116.4万元人民币。d7OEETC-电子工程专辑

除此之外,一名为“openbilibili”的用户在Github上创建“go-common”代码库。据爆料称,该代码库为B站网站后台工程源码,其中包含大量B站用户密码。d7OEETC-电子工程专辑

据微博大V@互联网的那点事描述,源代码库中的用户名显示哔哩哔哩的邮箱,密码中则是“Test”+日期,应该是官方测试所用,暂未发现用户的账号密码泄露。B站未回应。d7OEETC-电子工程专辑

源代码泄露一事频频发生,许多安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”d7OEETC-电子工程专辑

但也有来自网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)观点相左:“从技术角度来看,泄密没什么大不了。经检查,大多数源代码都是一文不值的,除非您有其他一些技术。d7OEETC-电子工程专辑

此外,源代码在没有日常支持和改进的情况下会迅速贬值。因此,不择手段的竞争对手不可能获得很大的价值,除非他们只专注某款非常具体的软件。”d7OEETC-电子工程专辑

对此,你怎么看?d7OEETC-电子工程专辑

责编:Yvonne Gengd7OEETC-电子工程专辑

ASPENCORE
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 前工程师离职5月后“删库跑路”, 思科损失1650万 最近,一则思科员工删库跑路的新闻引发了程序员们的关注,虽然这事发生在两年前,但直到今年8月26日才被公之于众。据悉,这位工程师删掉了思科 456 台WebEx虚拟机,导致思科损失 240 万美元,相当于人民币 1650 万……
  • 中国电子等11家中企被美国列入“军方控制公司”名单 8月28日,美国国防部宣布将中国电子信息产业集团有限公司(CEC)在内的11家中国企业列为中国军方拥有或控制的公司清单。今年6月,包括华为、海康威视在内的20家中国高科技企业成为首批被列入这个清单的公司。
  • 24家中企因“南海建岛”进实体清单,含多家通信研究机构 8月26日上午,美国商务部网站发布一份新闻稿,宣称将24家中国企业列入“实体清单”,原因是这些企业“帮助中国军方在南海修建人工岛”。 名单中以中字头企业占多,包括中国交建旗下5家公司、中国电子旗下多家研究所、中国船舶等。美国国务院还宣布对12名涉及南海人工岛建设的中国公民实施签证限制。
  • 全国首个!深圳宣布实现5G独立组网全覆盖 8月17日,深圳市市长陈如桂在“点亮深圳,5G智慧之城”发布会上宣布,深圳成为全国首个5G独立组网全覆盖的城市,率先进入5G时代。
  • 新基建添柴,“国产CPU+国产OS”生态越来越旺 新基建给国产CPU提供了快速发展的机会,将推动芯片技术从‘跟跑”到‘并跑再到‘领跑’。2011年,中国电子确定了芯片和操作系统一体化的研发理念,研发了具有完全自主知识产权的飞腾处理器(PHYTIUM)和麒麟操作系统(KYLINSOFT),“PK体系”概念诞生。这个体系不是类似WinTel那样绑定的封闭体系,意味着开放的生态和更强的性能……
  • 电费吃不消,运营商定时休眠5G基站 近日,洛阳联通夜间部分时段休眠关闭部分中兴5G基站,来降低电费成本的消息,在通信圈引起热议。随着5G这个"耗能大户"的全面商用,电费成为了运营商最大的运营成本之一,三大运营商无一例外都积极想尽各种办法试图降低电费。
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了