华为海思、微软、AMD 等50家公司的源代码惊现在网上

云头条 2021-05-01

由于基础架构配置不当，众多行业领域（技术、金融、零售、食品、电子商务和制造业）的五十家公司的代码存储库对外泄露，源代码唾手可得。

一个泄露代码的公共存储库包括微软、Adobe、联想、AMD、高通、摩托罗拉、海思（华为旗下）、联发科技、通用家电、任天堂、Roblox、迪士尼和江森自控等知名公司，而且这份名单越来越长。

收集“机密和专有代码”的行动

泄露的这些源代码是开发人员兼逆向工程师Tillie Kottmann从各个来源收集的，他们在搜寻可访问源代码的配置不当的devops工具的过程中也发现了部分源代码。

这些泄露的源代码中很大一部分就在GitLab上的一个公共存储库中，这些源代码标有“机密”或更贴切的“机密及专有”的名称。

据专注于银行威胁和欺诈的研究人员Bank Security声称，来自50多家公司的代码发布在该存储库中。不过，并非所有文件夹都填满了内容，但是这名研究人员称在一些情况下还有登录信息。

Kottmann的服务器显示了来自多家金融科技公司（Fiserv、Buczy Payments和Mercury Trade Finance Solutions）、银行（意大利国家劳工银行）、身份及访问管理开发商（Pirean Access：One）以及游戏的代码。

Kottmann告诉安全外媒BleepingComputer，他们在这个易于访问的代码存储库中找到了硬编码的登录信息，他们试图尽可能地删除登录信息，以防造成直接危害，并避免以任何方式造成更严重的泄露。

Kottmann称：“我在尽力防止我发布的代码直接导致任何重大问题。”

这名开发人员承认，在发布代码之前，他们并非总是与受影响的公司取得联系，不过他们已竭尽全力，尽量减小发布代码带来的负面影响。

其他人参与了这个项目，直接或间接地帮助泄露了代码，或者在不是很知情的情况下帮助Kottmann更好地了解所发现代码的性质。

应要求撤下源代码

Kottmann还表示，他们应要求撤下了代码，并乐意提供可加强公司基础架构安全性的信息。存储库中不再有梅塞德斯-奔驰旗下戴姆勒公司泄漏的一份代码。另一个空文件夹中带有Lenovo（联想）的名称。

不过从收到的《数字千年版权法案》（DMCA）删除通知数量（估计最多7份）以及法律代表或其他代表的直接联系人来看，许多公司可能对泄漏不知情。

一些注意到代码公开的企业懒得删除代码。至少有这么一例，一家公司的几名开发人员只是想知道Kottmann是如何获得代码的，并没有要求撤下代码。

源代码泄漏完整受害者列表：

Johnson Controls（江森自控）
iLendx （联想）
Banca Nazionale del Lavoro
Lenovo-smart-display-7
Adobe
Fastspring
GE Appliances（GE电器）
Mercury TFS
GovCloudRecords
MyDesktop
eMasurematics
Buckzy
TeamApt
Alpha FX
Covid Apps
Romeo Power
Digital Health Department
DRO Health
Elgin Industries
Berkeley Lights
Pwnee Studios
NYNJA
Tapway
BlocPower
Capital Technology Services
Lenovo（联想）
AMI
insyde
Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
KaiOS
AMD
Chenyee / Gionee
Disney（迪士尼）
Mineplex
Daimler
Rockchip
HiSilicon（海思）
Aukey
Chunmi
Xiaomi's Kitchen Appliance Subsidiary
PUKKA
Roblox Corporation
Microsoft（微软）
Motorola（摩托罗拉）
Qualcomm（高通）
Mediatek（联发科）
Bahwan CyberTek
CryptoSoul
gms
ReactMobile
ЦЭККМП
Tactical Electronics
Siasun

进一步的搜寻

查看在Kottmann的GitLab服务器上泄漏的一些代码后可发现，一些项目已由原始开发人员公开发布，或者上一次更新在很久以前。

不过这名开发人员称，更多的公司使用配置不当的devops工具，泄露了源代码。此外，他们在分析运行SonarQube的服务器以发掘各种bug和安全漏洞，SonarQube是一种开源平台，用于自动化代码审核和静态分析。

Kottmann认为，成千上万家公司因未合理保护安装的SonarQube系统而泄露了专有代码。

在Telegram频道中，这名开发人员提供了有关其他公司泄露的详细信息，包括名为“特大泄露”（Gigaleak）的任天堂泄露，其中包含多款经典游戏（《超级马里奥世界》、已取消的《塞尔达传说2》重制版、《超级马里奥64》和《塞尔达传说：时之笛》）的源代码和开发存储库（大量图形原型）。

尚不清楚Kottmann服务器上有多少代码是专有代码。