這些公司包括微軟、Adobe、聯想、AMD、高通、摩托羅拉、海思、任天堂、迪士尼、江森自控等等,而且這個名單還在不斷增長。
來自瑞士的開發者Tillie Kottmann通過各種第三方來源收集了這些漏洞,他自己也在DevOps工具中發現了很多配置錯誤,可以用來訪問源代碼。
泄露的源代碼發表在GitLab上的壹個開放資源庫中,並標記為“exconfidential”和“Confidential &;專有”(機密&;專有)。
(更新:GitLab倉庫已全部刪除,Kottmann現在使用telegram groups發布這些信息。)
根據安全研究機構Bank Security提供的信息,該存儲庫包含大約50家公司的源代碼。但是有些文件夾是空的,有些文件夾有硬編碼的憑證——這是創建後門的壹種方式。
科特曼提到,壹些代碼庫中確實存在硬編碼的憑據,他在發布之前盡可能刪除它們,“以避免造成直接傷害或促成更大的損害。”此外,他還承認,在發布之前,他並沒有接觸每壹家受影響的公司,但他們確保他們“盡力將負面影響降至最低”。
目前,Kottmann已應部分企業要求刪除了該代碼。比如奔馳的母公司戴姆勒股份公司;聯想的文件夾也已經空了。對於要求刪除代碼的公司,科特曼表示願意遵守,並提供信息“幫助公司增強基礎設施的安全性”。
事實上,從收到DMCA通知的數量(估計最多7個)和法人代表的接觸來看,很多公司對代碼泄露事件還不知情。還有壹些公司無意刪除代碼,甚至有公司認為“很有趣”,只想知道Kottmann是怎麽得到代碼的。
部分泄露的代碼早已被其原開發者公開發布,或者長時間沒有更新維護。網絡安全公司ImmuniWeb的創始人兼首席執行官伊利亞·科洛琴科(Ilia Kolochenko)指出,“從技術角度來看,這次泄露並不是很嚴重...沒有日常的支持和改進,源代碼會迅速貶值”。
盡管如此,如此大規模泄漏的原因仍然值得關註。很多公司使用錯誤的DevOps工具配置,導致源代碼暴露。Kottmann和他的團隊最近正在探索運行sonar cube的服務器,他們發現成千上萬的公司因為未能正確保護sonar cube的安裝而暴露了源代碼。
關於泄露源代碼的行為,安全專家傑克·摩爾(Jake Moore)對科技網站湯姆指南(Tom's Guide)表示,“失去對源代碼的控制,就像把銀行藍圖交給強盜壹樣...受影響的網站應立即采取保護措施...如果用戶在公司之前發現自己的數據已經被泄露,無疑是在傷口上撒鹽”。
基於法律層面,科洛琴科認為,源代碼發布者可能會因侵犯版權或違反計算機法律而被起訴,但通常大公司不會上訴,他們寧願迅速從存儲庫中刪除源代碼,並修復其內部DevOps安全流程。
為此,科洛琴科建議“企業應該修改並持續監控DevOps運營,將其變成敏捷的DevSecOps”。