一、舆情回顾
7月29日消息,据外媒报道,微软、联想、AMD、高通、联发科、通用电气、任天堂、华为海思等50家公司的源代码遭泄露。泄露的源码被发布在GitLab上一个公开存储库中,并被标记为 “exconfidential”(绝密),以及 “Confidential & Proprietary”(保密&专有)。(搜狐科技)
二、小信点评
【事件】
据科技类网站Bleeping Computer消息,上述公司源代码是一位名为Tillie Kottmann的瑞士开发者公开的,他表示自己通过第三方来源和配置错误的DevOps应用程序中获取了大量代码。
一家涉事公司teamapt也对泄露事件进行了调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。
据媒体报道,Kottmann将获取的代码发布在公开平台GitLab,标记在“机密”、“机密和专属”两个标签下,随后在推特上发布了获取连接。目前,GitLab上该存储库中部分文件夹是空的,还有一些存在硬编码凭证(硬编码凭证是创建后门的一种流行方式)。
对此,Kottmann表示,他在发布这些源代码时已经尽可能的删除了硬编码凭证,以避免被黑客利用创建后门,造成安全泄露。Kottmann同时表示,对于各公司要求撤销源代码的请求,他愿意遵守,也愿意为这些公司的安全建设提供助力。
而上述涉事公司对源代码泄露的态度颇有不同。据Bleeping Computer,部分公司要求Kottmann撤下源代码,如梅赛德斯奔驰母公司戴姆勒的源代码目前已被删除;一些公司对此并不在乎,其中有一家公司的开发者只是对Kottmann获取源代码的渠道感兴趣,并未要求删除;还有公司甚至不知道这一事件。
【影响】
对于此次泄漏事件可能会造成的影响,安全界资深人士看法不一。安全专家Jake Moore认为,公开这些源代码会让攻击者更容易窃取信息,他表示“在互联网上对源代码失去控制,就像是把银行的设计图交给劫匪一样”。网络安全公司ImmuniWeb创始人lia Kolochenko认为,仅从技术上看,这些泄露并没有很严重,除非拥有其他技术,并且具备复杂系统正常运行的人员的权限,否则大多数源代码都是毫无价值。源代码如果没有每天的支持与迭代也会迅速贬值,攻击者从中获取价值的可能性不大。
【延伸】
尽管有分析认为此次泄漏事件影响有限,但如此大规模的泄露仍引发了外界关注,毕竟因源代码公开导致的安全事件太多了。
比如大疆,一名前员将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub的公有仓库,造成源代码泄露。根据这些源代码,攻击者可以SSL证书私钥,访问客户的敏感信息,比如用户信息、飞行日志等等。经评估,泄漏事件给大疆造成经济损失达116.4万元人民币。
去年4月,B站后台工程源码泄露,其中有不少用户名密码被硬编码在代码里面,由于网站的开源性质,登录网站者均可使用。消息曝出后,B站盘前股价跌3.72%。
今年4月,任天堂遭遇史上规模最大的代码泄露事件,有匿名用户在美国论坛4chan中陆续上传了大量任天堂内部档案,涉及完整源代码、设计文档,近乎一切用于构建Wii主机的资料,还包括像N64的技术演示,泄露文件数量超过2TB。任天堂披露的信息显示,有30万个账号信息被泄露。
部分资料综CSDN、澎湃等