全球众多巨头源代码在线泄漏,海思在列。

发布者:zx_763821
发布于:2020-07-28 03:51

由于基础架构配置不正确,来自各个活动领域(技术,金融,零售,食品,电子商务,制造业)的50多家全球巨头公司的公开资料库的源代码可公开获得。


泄漏代码的公共存储库中包括微软,Adobe,联想,AMD,高通,摩托罗拉,海思(由华为拥有),联发科技,GE家电,任天堂,Roblox,迪士尼,江森自控等知名公司,而且这个清单还在增长。


源代码泄漏完整受害者列表(图片):


源代码泄漏完整受害者列表(文字):


  • Johnson Controls(江森自控)
  • iLendx  (联想)
  • Banca Nazionale del Lavoro
  • Lenovo-smart-display-7
  • Adobe
  • Fastspring
  • GE Appliances(GE电器)
  • Mercury TFS
  • GovCloudRecords
  • MyDesktop
  • eMasurematics
  • Buckzy
  • TeamApt
  • Alpha FX
  • Covid Apps
  • Romeo Power
  • Digital Health Department
  • DRO Health
  • Elgin Industries
  • Berkeley Lights
  • Pwnee Studios
  • NYNJA
  • Tapway
  • BlocPower
  • Capital Technology Services
  • Lenovo(联想)
  • AMI
  • insyde
  • Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
  • KaiOS
  • AMD
  • Chenyee / Gionee
  • Disney(迪士尼)
  • Mineplex
  • Daimler
  • Rockchip
  • HiSilicon(海思)
  • Aukey
  • Chunmi
  • Xiaomi's Kitchen Appliance Subsidiary
  • PUKKA
  • Roblox Corporation
  • Microsoft(微软)
  • Motorola(摩托罗拉)
  • Qualcomm(高通)
  • Mediatek(联发科)
  • Bahwan CyberTek
  • CryptoSoul
  • gms
  • ReactMobile
  • ЦЭККМП
  • Tactical Electronics
  • Siasun


RAW粘贴数据:

  • Johnson Controls
  • iLendx
  • Banca Nazionale del Lavoro
  • Lenovo-smart-display-7
  • Adobe
  • Fastspring
  • GE Appliances
  • Mercury TFS
  • GovCloudRecords
  • MyDesktop
  • eMasurematics
  • Buckzy
  • TeamApt
  • Alpha FX
  • Covid Apps
  • Romeo Power
  • Digital Health Department
  • DRO Health
  • Elgin Industries
  • Berkeley Lights
  • Pwnee Studios
  • NYNJA
  • Tapway
  • BlocPower
  • Capital Technology Services
  • Lenovo
  • AMI
  • insyde
  • Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
  • KaiOS
  • AMD
  • Chenyee / Gionee
  • Disney
  • Mineplex
  • Daimler
  • Rockchip
  • HiSilicon
  • Aukey
  • Chunmi
  • Xiaomi's Kitchen Appliance Subsidiary(小米厨房电器子公司)
  • PUKKA
  • Roblox Corporation
  • Microsoft
  • Motorola
  • Qualcomm
  • Mediatek
  • Bahwan CyberTek
  • CryptoSoul
  • gms
  • ReactMobile
  • ЦЭККМП
  • Tactical Electronics
  • Siasun


“机密和专有”行动

漏洞是由开发人员和逆向工程师Tillie Kottmann收集的,这些泄漏来自各种来源,也来自他们自己对配置错误的devops工具的追捕,这些工具可提供对源代码的访问。


在GitLab上的公共存储库中可以找到大量此类泄漏,这些泄漏的名称为“机密”,或者更贴切的标签为“机密和专有”。


据专注于银行业威胁和欺诈的研究人员Bank Security称,该信息库中发布了来自50多家公司的代码。不过,并非所有文件夹都有内容,但是研究人员说在某些情况下还存在密码凭据。



Kottmann的服务器显示来自金融科技公司(Fiserv,Buczy Payments,Mercury Trade Finance Solutions),银行(Banca Nazionale del Lavoro),身份和访问管理开发人员(Pirean Access:One)和游戏的代码。





Kottmann告诉外媒,他们在易于访问的代码存储库中找到了硬编码的凭据,他们  试图尽可能地将其删除  ,以防止直接伤害并避免以任何方式造成更大的破坏。


Kottmann告诉外媒:“我会尽力防止发布中直接导致的任何重大问题。”


开发人员承认,在发布代码之前,他们并不总是与受影响的公司联系,但是他们尽了最大的努力使发布带来的负面影响最小化。


其他人也参与了这个项目,他们直接或间接地为泄漏做出了贡献,或者在不清楚的情况下帮助Kottmann更好地理解了他们发现的本质。


要求删除

Kottmann还表示,他们遵守移除要求,并乐意提供可增强公司基础架构安全性的信息。储存库中不再存在戴姆勒公司(Daimler AG)在梅赛德斯-奔驰品牌背后的泄漏。另一个空文件夹的名称为Lenovo。


但是,从收到的DMCA通知数量(估计最多7份)以及法律或其他代表的直接联系来看,许多公司可能不知道泄漏。


一些注意到其代码公开的企业不会费心将其删除。至少在一个实例中,一家公司的几名开发人员只是想知道Kottmann是如何获得代码的,并没有要求删除,而是希望“有趣”。



更多狩猎

回顾一下在Kottmann的GitLab服务器上泄漏的一些代码,发现某些项目已由其原始开发人员公开发布,或者在很久以前进行了最后更新。


不过,开发人员告诉外媒,有更多公司使用错误的devops工具配置了暴露源代码的公司。此外,他们正在探索运行SonarQube的服务器,SonarQube是一个开源平台,用于自动代码审核和静态分析,以发现错误和安全漏洞。


Kottmann相信,有成千上万的公司由于未能正确保护SonarQube安装而暴露了专有代码。


在Telegram频道中,开发人员提供了有关其他漏洞的详细信息,包括被称为Gigaleak的Nintendo漏洞,其中 包含源代码,多个经典游戏(Super Mario World,取消的Zelda 2重制版,Super Mario 64)的开发仓库(大量图形原型)。,《塞尔达传说:时之笛》。



尚不清楚Kottmann服务器上的代码有多少是私有的保密的。


红数位将持续关注此事件。


共建网络安全命运共同体




声明:该文观点仅代表作者本人,转载请注明来自看雪