1. 威客安全首页
  2. 安全资讯

朋友圈惊现收二手源码,0day换不锈钢脸盆

朋友圈惊现收二手源码,0day换不锈钢脸盆

文章来源:云头

昨天到朋友圈看到

朋友圈惊现收二手源码,0day换不锈钢脸盆

怎么回事呢?原来 ,华为海思、微软、AMD 等50家公司的源代码惊现在网上,由于基础架构配置不当,众多行业领域(技术、金融、零售、食品、电子商务和制造业)的五十家公司的代码存储库对外泄露,源代码唾手可得。


一个泄露代码的公共存储库包括微软、Adobe、联想、AMD、高通、摩托罗拉、海思(华为旗下)、联发科技、通用家电、任天堂、Roblox、迪士尼和江森自控等知名公司,而且这份名单越来越长。

收集“机密和专有代码”的行动

泄露的这些源代码是开发人员兼逆向工程师Tillie Kottmann从各个来源收集的,他们在搜寻可访问源代码的配置不当的devops工具的过程中也发现了部分源代码。

这些泄露的源代码中很大一部分就在GitLab上的一个公共存储库中,这些源代码标有“机密”或更贴切的“机密及专有”的名称。

据专注于银行威胁和欺诈的研究人员Bank Security声称,来自50多家公司的代码发布在该存储库中。不过,并非所有文件夹都填满了内容,但是这名研究人员称在一些情况下还有登录信息。

朋友圈惊现收二手源码,0day换不锈钢脸盆

Kottmann的服务器显示了来自多家金融科技公司(Fiserv、Buczy Payments和Mercury Trade Finance Solutions)、银行(意大利国家劳工银行)、身份及访问管理开发商(Pirean Access:One)以及游戏的代码。

Kottmann告诉安全外媒BleepingComputer,他们在这个易于访问的代码存储库中找到了硬编码的登录信息,他们试图尽可能地删除登录信息,以防造成直接危害,并避免以任何方式造成更严重的泄露。

Kottmann称:“我在尽力防止我发布的代码直接导致任何重大问题。”

这名开发人员承认,在发布代码之前,他们并非总是与受影响的公司取得联系,不过他们已竭尽全力,尽量减小发布代码带来的负面影响。

其他人参与了这个项目,直接或间接地帮助泄露了代码,或者在不是很知情的情况下帮助Kottmann更好地了解所发现代码的性质。

应要求撤下源代码

Kottmann还表示,他们应要求撤下了代码,并乐意提供可加强公司基础架构安全性的信息。存储库中不再有梅塞德斯-奔驰旗下戴姆勒公司泄漏的一份代码。另一个空文件夹中带有Lenovo(联想)的名称。

不过从收到的《数字千年版权法案》(DMCA)删除通知数量(估计最多7份)以及法律代表或其他代表的直接联系人来看,许多公司可能对泄漏不知情。

一些注意到代码公开的企业懒得删除代码。至少有这么一例,一家公司的几名开发人员只是想知道Kottmann是如何获得代码的,并没有要求撤下代码。

朋友圈惊现收二手源码,0day换不锈钢脸盆

朋友圈惊现收二手源码,0day换不锈钢脸盆

朋友圈惊现收二手源码,0day换不锈钢脸盆

朋友圈惊现收二手源码,0day换不锈钢脸盆

朋友圈惊现收二手源码,0day换不锈钢脸盆

源代码泄漏完整受害者列表:

  • Johnson Controls(江森自控)

  • iLendx  (联想)

  • Banca Nazionale del Lavoro

  • Lenovo-smart-display-7

  • Adobe

  • Fastspring

  • GE Appliances(GE电器)

  • Mercury TFS

  • GovCloudRecords

  • MyDesktop

  • eMasurematics

  • Buckzy

  • TeamApt

  • Alpha FX

  • Covid Apps

  • Romeo Power

  • Digital Health Department

  • DRO Health

  • Elgin Industries

  • Berkeley Lights

  • Pwnee Studios

  • NYNJA

  • Tapway

  • BlocPower

  • Capital Technology Services

  • Lenovo(联想)

  • AMI

  • insyde

  • Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

  • KaiOS

  • AMD

  • Chenyee / Gionee

  • Disney(迪士尼)

  • Mineplex

  • Daimler

  • Rockchip

  • HiSilicon(海思)

  • Aukey

  • Chunmi

  • Xiaomi’s Kitchen Appliance Subsidiary

  • PUKKA

  • Roblox Corporation

  • Microsoft(微软)

  • Motorola(摩托罗拉)

  • Qualcomm(高通)

  • Mediatek(联发科)

  • Bahwan CyberTek

  • CryptoSoul

  • gms

  • ReactMobile

  • ЦЭККМП

  • Tactical Electronics

  • Siasun


进一步的搜寻

查看在Kottmann的GitLab服务器上泄漏的一些代码后可发现,一些项目已由原始开发人员公开发布,或者上一次更新在很久以前。

不过这名开发人员称,更多的公司使用配置不当的devops工具,泄露了源代码。此外,他们在分析运行SonarQube的服务器以发掘各种bug和安全漏洞,SonarQube是一种开源平台,用于自动化代码审核和静态分析。

Kottmann认为,成千上万家公司因未合理保护安装的SonarQube系统而泄露了专有代码。

在Telegram频道中,这名开发人员提供了有关其他公司泄露的详细信息,包括名为“特大泄露”(Gigaleak)的任天堂泄露,其中包含多款经典游戏(《超级马里奥世界》、已取消的《塞尔达传说2》重制版、《超级马里奥64》和《塞尔达传说:时之笛》)的源代码和开发存储库(大量图形原型)。

尚不清楚Kottmann服务器上有多少代码是专有代码。


最后,华盟君也想收源码换脸盆,换比特币也行,有的联系我。

朋友圈惊现收二手源码,0day换不锈钢脸盆



推荐文章++++

朋友圈惊现收二手源码,0day换不锈钢脸盆

*20家供应商存在40个内核安全漏洞:包括英特尔、英伟达、华为等

*女黑客盗取源代码预卖1亿美刀

*上海2家科技公司被曝数据泄露


朋友圈惊现收二手源码,0day换不锈钢脸盆

朋友圈惊现收二手源码,0day换不锈钢脸盆

原文始发于微信公众号(黑白之道):朋友圈惊现收二手源码,0day换不锈钢脸盆

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论