可以说是有史以来最大范围的源代码泄露。微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等 50 家科技公司都中招。
源代码就是指最初始程式的程式码,主要针对开发者,用户使用的应用程序都是经过源代码编译打包后呈现。
公司专有程式码对网络创意公司来说是等于命脉,掌握编写方式,就可复制出相同的程式,或透过阅读源代码找到程式漏洞任意攻击。所以网络兴起后,世界各国都立法保护源代码。
The source code related to over 50 companies has been leaked and posted on a public repository.
In some cases there are hard-coded credentials.
Here the targeted Banks: – 1 Italian Bank: @BNL_PR @BNL_PR – 2 Fintech in the US: @Fiserv, @BuckzyPayments#bank #databreach pic.twitter.com/PujSndzaDe
— Bank Security (@Bank_Security) July 26, 2020
据外媒报导,遭泄露的源代码发表在 GitLab 公开程式库,并标记为“exconfidential”(绝密)及“Confidential & Proprietary”(保密及专有)。
GitLab 是仓储管理系统的开源项目,全球第二大开源代码代管平台,Google 重金投资加持的开源独角兽,阿里巴巴一度是重要用户。
据安全研究人员 Bank Security 提供资讯,该程式库约含超过 50 家公司源代码,但有一些档案夹是空的,还有一些有硬编码凭证(建立后门的方式)。
此外,开发人员 Tillie Kottmann 提到,一些程式在程式库确实有硬编码凭证,他在发表前已尽可能移除,“以避免造成直接伤害或助长更多破坏”。另外,他也坦承自己并未在发表前与每家受影响公司联系,但确保“尽了最大努力将负面影响缩小”。
Kottmann 的 Twitter 账号简介写着“这里可能正在泄露您的源代码”,账号置顶推文是个问题,问推友“你认为机密资讯、档案、二进制档案和源代码,哪种最应该公开?”
使用错误的 Devops 工具暴露了程式码
对上述事件,不少安全专家表示,“失去对来源码的控制,就像把银行设计图交给银行抢犯”。
Kottmann 已应部分企业要求移除程式码。如戴姆勒(Daimler AG),联想档案夹也空空如也。对要求移除程式码的公司,Kottmann 表示愿意遵守,并乐意提供资讯,“帮助公司增强基础架构安全性”。
而关于源代码泄露的原因,开发团队也还在找。
Kottmann 称,他们尝试发表硬编码凭证前从公司源代码移除这些硬编码凭证,这些凭证通常用于建立后门程式,以免发生更大的安全漏洞。
回顾在 Kottmann 的 GitLab 服务器泄漏的程式码,可发现某些项目由原始开发人员公开发表,或是很久以前的最后更新档。
不过开发人员表示,有更多公司使用错误的 Devops 工具配置暴露源代码的公司。此外,他们正在探索执行 SonarQube 的服务器,SonarQube 是开源平台,用于自动程式码审核和静态分析,以发现错误和安全漏洞。
Kottmann 认为,有成千上万家公司由于未能正确保护 SonarQube 安装而暴露专有程式码。
不过,网络安全公司 ImmuniWeb 创始人兼首席首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次泄露不算很严重……若没有每天支援改进,源代码也会迅速贬值”。
尽管如此,这大规模泄露事件还是值得注意。
程式码被公开之痛
每次源代码被公开,伴随的都是巨大损失。举几个例子,大家就明白了。
大疆前员工将含公司商业机密的程式码上传到 GitHub 的公用程式库,造成源代码泄露。据当时报导,攻击者可 SSL 证书私钥,存取用户的敏感资讯,如用户资讯、飞行日志等。
根据评估,这次泄漏程式码一共为大疆造成 116.4 万人民币损失。
再如 2019 年 4 月,B 站整个网站背景工程源代码泄露,且“不少用户密码被硬编码在程式码里,谁都可以用”。
当天,在开源及私有软件项目托管平台 GitHub,出现名为“哔哩哔哩 bilibili 网站背景工程源码”项目,由账号“openbilibili”建立,由于网站开源性质,登入网站者均可使用。当日 B 站股价下跌 3.27%。
虽然很快被封,B 站也警示处理,但有不少网友已复制程式码,埋下后患,补救起来也颇头痛。
当然,除了主动泄露私钥,还有很多人在 GitHub 把登入资讯和明文密码一起开源。而这些被开源的程式码一旦被骇客利用,会造成多少损失就要看骇客心情了。
附上源代码泄漏受害者完整名单:
- Johnson Controls(江森自控)
- iLendx(联想)
- Banca Nazionale del Lavoro
- Lenovo-smart-display-7
- Adobe
- Fastspring
- GE Appliances(奇异电器)
- Mercury TFS
- GovCloudRecords
- MyDesktop
- eMasurematics
- Buckzy
- TeamApt
- Alpha FX
- Covid Apps
- Romeo Power
- Digital Health Department
- DRO Health
- Elgin Industries
- Berkeley Lights
- Pwnee Studios
- NYNJA
- Tapway
- BlocPower
- Capital Technology Services
- Lenovo(联想)
- AMI
- insyde
- Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
- KaiOS
- AMD
- Chenyee / Gionee
- Disney(迪士尼)
- Mineplex
- Daimler(戴姆勒)
- Rockchip
- HiSilicon(海思)
- Aukey
- Chunmi
- Xiaomi’s Kitchen Appliance Subsidiary
- PUKKA
- Roblox Corporation
- Microsoft(微软)
- Motorola(摩托罗拉)
- Qualcomm(高通)
- Mediatek(联发科)
- Bahwan CyberTek
- CryptoSoul
- gms
- ReactMobile
- ЦЭККМП
- Tactical Electronics
- Siasun
- Source code from dozens of companies leaked online
(本文由 雷锋网 授权转载;首图来源:pixabay)
