“失去對互聯網源代碼的控制,就像把銀行的設計藍圖交給劫匪一樣。”
由於基礎設施配置錯誤,來自多個領域包括科技、金融、零售、食品、電子商務以及製造業的數十家企業的源代碼通過一套公共repo被批量公開。
此次泄露的源代碼來自微軟、Adobe、聯想、AMD、高通、摩托羅拉、海思(華爲所有)、聯發科、GE家電、小米、任天堂、Roblox、迪士尼以及江森自控等知名企業。
大量源代碼的 公開 使人們得以深入瞭解 這 些企業的產品,同時也讓網絡攻擊者與惡意人士更輕鬆地收集其中包含的機密信息。
相關漏洞由開發人員兼逆向工程師Tillie Kottmann收集完成,除了現成來源之外,他自己也找到不少DevOps工具中的配置錯誤( 可以通過 這些工具 訪問 源代碼)。
據報道,這些被標記爲“絕密”及“保密/專有”的信息被Kottmann發佈在在線repo管理平臺GitLab之上,目前任何人皆可輕鬆訪問。這位開發者甚至在自己的Twitter賬戶上公開發布了相關repo的鏈接。
不過隨後 Kottmann已經根據一些企業的要求刪除了這些源代碼。目前,repo當中不再包含戴姆勒(梅賽德斯-奔馳的母公司)的泄露代碼。 但從收到的DMCA通知數量(估計最多7份)以及法律或其他代表的直接聯繫情況來看,很多企業甚至還沒意識到自己的代碼已經外泄,所以安全威脅依然存在。
Kottmann的Twitter賬戶簡介寫道,“這裏可能正在泄露您的源代碼。”該賬戶的置頂推文是一條衆包帖,問道“您認爲機密信息、文檔、二進制文件和源代碼,哪一種最應該向公衆公開……”
源碼中存在很多不安全的編碼方式
Kottmann的服務器顯示,部分代碼來自金融科技公司 ( Fiserv, Buczy Payments, Mercury Trade Finance Solutions ) 、銀行 ( Banca Nazionale del Lavoro ) 以及身份與訪問管理 ( Pirean Access: One ) 與遊戲開發商。
Kottmann還特地指出,在這些易於訪問的代碼repo中有很多硬編碼形式的憑證,並且他在Twitter上放出了部分 源代碼截圖。
Kottmann隨後表示,他們在發佈源代碼之前曾經嘗試刪除直接保存在其中的硬編碼憑證,這類憑證通常用於在程序中創建後門,以避免曝光更嚴重的安全漏洞。
這位開發者告訴媒體,“我已經盡力防止因發佈源代碼而直接引發任何重大問題。”但 這位開發者同時也承認,在發佈代碼之前,他並沒有跟每一家受影響的企業取得聯繫。
Kottmann還提到,他們願意配合撤除要求,併爲各企業提供用於增強基礎設施安全性的建議。戴姆勒公司的代碼已經被撤除,聯想公司的對應文件夾中也是空空如也。但從收到的DMCA通知數量(估計最多7份)以及法律或其他代表的直接聯繫情況來看,很多企業甚至還沒意識到自己的代碼已經外泄。
還有一部分企業在知悉情況後,也並不打算撤除自己外泄的代碼。 某家公司的開發人員只是簡單表示自己很好奇,想知道Kottmann是怎麼做到的,而且 覺得整件事“非常有趣” 。
威脅仍在
回顧Kottmann在GitLab服務器上公佈的部分代碼,可以看到某些項目此前就已經被原始開發者直接發佈,或者已經很長時間沒有進行過更新。
但 Kottmann告訴媒體 ,目前 還 有不少企業 的 DevOps工具中存在嚴重的配置錯誤,並直接導致源代碼不慎流出。此外,他們還在批量搜索運行有SonarQube的服務器,SonarQube是一套開源平臺,主要用於自動代碼審覈與表述分析以識別各類bug與安全漏洞。
Kottmann認爲,目前成千上萬的企業由於未能正確保護SonarQube而導致專有代碼面臨着外泄的風險。
在Telegram頻道中,這位開發人員提供了關於其他安全漏洞的更多詳細信息,其中還涉及在網上被稱爲“Gigaleak”的任天堂外泄代碼。 此次任天堂源代碼泄露,尤其受到遊戲行業的關注。
我們可以在其代碼中看到多款經典遊戲的開發repo(包含大量圖形原型,具體涉及〈超級馬力歐世界〉、被取消的〈塞爾達2〉重製版、〈超級馬力歐64〉以及〈塞爾達傳說:時之笛〉)。泄漏中甚至還包含了完全可玩的遊戲原型。
正如安全專家Jake Moore在科技博客Tom’s Guide中所言,將源代碼公開示衆,會導致網絡攻擊者更容易竊取到企業內的機密信息。
Moore強調稱,“失去對互聯網源代碼的控制,就像把銀行的設計藍圖交給劫匪一樣。”“如果最終用戶在企業之前發現自己的數據被泄露,這相當於在用戶的傷口上撒鹽。”
Synopsys網絡安全研究中心首席安全策略師Tim Mackey表示:“ 比如流行的DevOps,DevSecOps和Configuration as Code,這些基礎技術旨在促進分佈式團隊之間的協作,會將潛在的配置信息存儲在代碼存儲庫中,從而讓黑客有機可乘。”
爲防止源代碼丟失,企業和相關組織應修改並持續監控其DevOps等軟件的操作。
參考鏈接:
https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-2020-7
https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/