因错误操作导致数十家企业源代码泄露

2024-10-31

由于基础设施的错误配置导致数十家公司的源代码被泄露，涉及技术、金融、零售、食品、电子商务和制造业。泄露代码的公共库中包括微软，奥多比、联想， AMD、高通，摩托罗拉，华为海思，联发科、通用，任天堂， Roblox、迪斯尼、强生，等等。泄漏列表仍在更新中。

代码泄漏是由逆向工程师Tillie Kottmann从不同渠道和错误配置的devop工具获得的。据Bank Security称，一位关注银行威胁和欺诈的研究人员发现，gitlab库包含50多家企业的代码。虽然不是所有的文件夹都被计算在内，但是研究人员说它们包含凭证信息。

科特曼的服务器也有来自金融技术公司、银行、身份和访问管理以及游戏公司的源代码。Kottmann声称在代码库中发现了硬编码的凭证，并且他已经尽可能多地删除了凭证等重要信息，以防止进一步的信息或由代码泄漏引起的数据泄漏。科特曼承认，在披露泄露的代码之前，他没有与受影响的企业取得联系，但已采取措施减少公布信息的负面影响。

科特曼说，它也接受删除(删除)的请求，并愿意提供信息，以加强企业基础设施的安全。戴姆勒公司泄露的信息已从图书馆删除，另一个空文件夹包含联想的名字。

从目前收到的DMCA通知数量和通过与企业直接接触获得的信息来看，许多公司可能并不知道代码泄漏事件。

许多知道代码泄漏的公司似乎并不急于消除它们。这些企业中的许多开发人员想知道科特曼是如何得到代码的，而不是要求删除它。

研究人员检查了科特曼的GitLab服务器，发现一些项目是由最初的开发者发布的，或者距离上次更新已经有很长时间了。

然而，一些开发人员告诉研究人员，有许多devops工具使用了错误的配置，这可能会泄露源代码。科特曼认为，成千上万的企业暴露了特殊的代码，因为他们没有适当地确保SonarQube安装的安全。

在Telegram 中，一些开发者提供了关于代码泄露的细节，包括任天堂泄露了几个经典游戏的源代码和开发库，涉及超级马里奥世界、超级马里奥64、塞尔达传奇：奥卡琳娜时间等。