0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

盘点50多家企业源代码遭泄露

jf_f8pIz0xS 来源:与非网 作者:s4519920763339776 2020-07-30 17:15 次阅读

据悉,由于不安全的 DevOps 应用程序导致公司专有信息暴露,包括微软、Adobe、联想、AMD高通海思联发科等 50 多家科技公司源代码泄露。

据了解,这些遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有),任何人都可以访问。

根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证。(一种创建后门的方式。)


此外,开发人员 Tillie Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。


Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”

对于上述事件,不少安全专家表示,“在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯一样。”

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯 - 奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann 表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。

而关于源代码泄露的原因,开发团队也在继续寻找原因。Kottmann 称,他们试图在发布硬编码凭证之前从公司的源代码中删除这些硬编码凭证,这些凭证通常用于创建后门程序,以免发生更加强大的安全漏洞。

回顾在 Kottmann 的 GitLab 服务器上泄漏的一些代码,可以发现某些项目已由其原始开发人员公开发布,或者在很久以前进行了最后更新。

不过,开发人员表示,有更多公司使用错误的 Devops 工具配置了暴露源代码的公司。此外,他们正在探索运行 SonarQube 的服务器,SonarQube 是一个开源平台,用于自动代码审核和静态分析,以发现错误和安全漏洞。

Kottmann 认为,有成千上万的公司由于未能正确保护 SonarQube 安装而暴露了专有代码。

不过,网络安全公司 ImmuniWeb 的创始人兼首席执行官 Ilia Kolochenko 指出,“从技术角度来看,这次的泄露并不算很严重……若没有每天的支持和改进,源代码也会迅速贬值”。

已知受影响的公司如下:

Johnson Controls(江森自控)

iLendx

Banca Nazionale del Lavoro(意大利国家劳工银行)

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo

AMI

insyde

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

KaiOS

AMD

Chenyee / Gionee

Disney

Mineplex

Daimler

Rockchip

HiSilicon(海思)

Aukey

Chunmi

Xiaomi's Kitchen Appliance Subsidiary(小米)

PUKKA

Roblox Corporation

Microsoft(微软)

Motorola(摩托罗拉)

Qualcomm(高通)

Mediatek(联发科)

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微软
    +关注

    关注

    4

    文章

    6594

    浏览量

    104053
  • 高通
    +关注

    关注

    76

    文章

    7464

    浏览量

    190606
  • 联想
    +关注

    关注

    3

    文章

    2605

    浏览量

    62779
收藏 人收藏

    评论

    相关推荐

    华大半导体旗下多家企业斩获佳绩

    随着中国电子2024年度管理创新成果评选圆满落下帷幕,华大半导体旗下多家企业凭借出色的管理创新成果脱颖而出、斩获佳绩。
    的头像 发表于 12-03 15:00 313次阅读

    Gmapping源代码

    Gmapping源代码.docx
    发表于 11-16 13:42 0次下载

    imec主导汽车Chiplet计划,多家巨头企业加入

    近日,比利时微电子研究实验室imec宣布了一项重要进展,其主导的汽车Chiplet计划已成功吸引了多家欧洲及国际知名企业加入。这些企业包括Arm、宝马、博世、SiliconAuto、西门子和Valeo等欧洲
    的头像 发表于 10-14 17:04 458次阅读

    源代码解析工具与自动化流程图生成解决方案

      摘要:CasePlayer2是一款强大的源代码解析工具,专门设计用于分析ANSI C、C、C++以及汇编语言源代码,并自动化地生成流程图等文件。该工具集成了多种功能,包括MISRA-C规范检查
    的头像 发表于 10-10 13:40 219次阅读

    苹果下一代Mac mini代码泄露:五端口设计成焦点

    9月17日,国际媒体发布消息称,苹果公司在其软件中的一次代码更新中,不慎泄露了备受期待的下一代Mac mini的关键细节。此次泄露由MacRumors的投稿人Aaron Perris率先发现,揭示了
    的头像 发表于 09-18 16:21 732次阅读

    hex可以转成源代码

    Hex文件可以转换成源代码的近似形式,但无法直接还原为原始的、完全相同的源代码 。这是因为Hex文件是二进制文件,包含了程序编译后的机器码,这些机器码与原始的源代码在结构和表达上存在显著的差异。不过
    的头像 发表于 09-02 10:41 1005次阅读

    RT-Thread操作系统内存泄露,很快找到泄露者了

    刚好碰到一内存泄露问题,但不知道是谁泄露了,翻出之前调试用过的代码改了一下,很快找到泄露者了。 先是对mem.c进行改造,给每个node加入更多信息,以方便追溯。 src/mem.c
    发表于 09-01 11:14

    华企盾防泄密系统让企业源代码更安全

    泄露,其后果不堪设想。 从目前情况来看,源代码防泄密的形势并不乐观,出现了如下情况: 1、人员漏洞,系统漏洞。 企业源代码防泄密缺乏规范,管理混乱,导致漏洞百出,
    的头像 发表于 05-23 11:30 479次阅读

    企业如何保护源代码安全?做好源代码防泄密工作

    企业源代码作为公司的核心资产,对于很多初创团队和中小型企业来说,具有不可估量的价值。然而,有些团队在投入大量人力、物力和财力进行产品开发的过程中,却发现自己辛苦研发的成果在还未上线之前,市面上已经
    的头像 发表于 05-22 16:01 457次阅读

    【开源鸿蒙】下载OpenHarmony 4.1 Release源代码

    本文介绍了如何下载开源鸿蒙(OpenHarmony)操作系统 4.1 Release版本的源代码,该方法同样可以用于下载OpenHarmony最新开发版本(master分支)或者4.0 Release、3.2 Release等发布版本的源代码
    的头像 发表于 04-27 23:16 919次阅读
    【开源鸿蒙】下载OpenHarmony 4.1 Release<b class='flag-5'>源代码</b>

    企业源代码防泄密解决方案如何做才能做好?

    源代码或图纸复制一份,这是每一个研发人员心照不宣的事情。那么如何对企业核心文件进行防泄密保护呢? 在这里我们重点聊一下企业源代码防泄密方案。如果
    的头像 发表于 04-24 11:57 380次阅读

    国家高新技术研究院发布“2023小巨人企业50强”

    3月28日,国际高新技术研究院公布了“2023小巨人企业50强”名单。 包括欣旺达动力科技股份有限公司、京东方传感技术有限公司、士兰半导体制造有限公司在内的多家明星企业成功登榜。
    的头像 发表于 03-29 16:49 1429次阅读

    ChatGPT安全风波:用户敏感信息或泄露

    近日,全球热门的聊天机器人ChatGPT陷入了一场安全风波。据报道,ChatGPT意外泄露了用户的私密对话,其中包括用户名、密码等敏感信息。
    的头像 发表于 02-05 11:15 1604次阅读

    源代码审计怎么做?有哪些常用工具

    源代码审计是一种通过检查源代码来发现潜在的安全漏洞的方法。 下面是常用的源代码审计工具: 1、Fortify:通过内置的五大主要分析引擎,对源代码进行静态分析,并与特有的软件安全漏洞规
    发表于 01-17 09:35

    智能制造行业--客户现场调试源代码如何防泄密

    我国近几年传统制造向智能制造的转变,很多制造企业不仅有自己公司的图纸文件需要保密,企业的有很多源代码也需要保密,但是对于源代码采用图纸防泄密的方式是不可取的,
    的头像 发表于 01-11 16:27 503次阅读
    智能制造行业--客户现场调试<b class='flag-5'>源代码</b>如何防泄密