可以說,這是有史以來最大範圍的一次原始碼洩露。
原始碼就是指編寫的最原始程序的代碼,主要對象是面向開發者,我們平常使用的應用程式都是經過源碼編譯打包以後發布呈現的。
公司專有程序代碼對於網絡創意公司來說是其生命的化身,掌握了其編寫方式,就可以複製出一個相同的程序,或通過閱讀原始碼找到程序的漏洞進行任意攻擊。所以在網際網路興起後世界各國都立法對其進行保護。
微軟、Adobe、聯想、AMD、高通、聯發科、通用電氣、任天堂、迪士尼、華為海思等 50 家科技公司都中招了。
據外媒報導,遭洩露的源碼被發布在 GitLab 上一個公開存儲庫中,並被標記為 「exconfidential」 (絕密),以及 「Confidential & Proprietary」(保密&專有)。
雷鋒網註:GitLab 是一個用於倉庫管理系統的開源項目,全球第二大開原始碼託管平臺,谷歌重金投資加持的開源獨角獸,阿里巴巴還一度是其重要客戶。
根據安全研究人員 Bank Security 提供的信息,該存儲庫中大約包含了超過 50 家公司的源碼。但有一些文件夾是空的,還有一些存在硬編碼憑證。(一種創建後門的方式。)
此外,開發人員 Tillie Kottmann 提到,一些代碼庫中確實存在硬編碼憑證,他在發布前已儘可能地將其刪除,「以避免造成直接傷害或是助長更大的破壞」。另外,他也坦承自己並未在發布前與每一家受影響的公司進行聯繫,但他們確保自己「盡了最大的努力將負面影響最小化」。
Kottmann 的 Twitter 帳戶簡介寫道,「這裡可能正在洩露您的原始碼。」該帳戶的置頂推文是一條眾包帖,問道「您認為機密信息、文檔、二進位文件和原始碼,哪一種最應該向公眾公開……」
對於上述事件,不少安全專家表示,「在網際網路上失去對原始碼的控制,就像把銀行的設計圖交給搶劫犯一樣。」
目前,Kottmann 已應部分企業的要求刪除了代碼。例如 Daimler AG,梅賽德斯-奔馳的母公司;聯想的文件夾也已經空空如也。針對有移除代碼要求的公司,Kottmann 表示願意遵守,並樂意提供信息,「幫助公司增強基礎架構的安全性」。
而關於原始碼洩露的原因,開發團隊也在繼續尋找原因。
Kottmann 稱,他們試圖在發布硬編碼憑證之前從公司的原始碼中刪除這些硬編碼憑證,這些憑證通常用於創建後門程序,以免發生更加強大的安全漏洞。
回顧在 Kottmann 的 GitLab 伺服器上洩漏的一些代碼,可以發現某些項目已由其原始開發人員公開發布,或者在很久以前進行了最後更新。
不過,開發人員表示,有更多公司使用錯誤的 Devops 工具配置了暴露原始碼的公司。此外,他們正在探索運行 SonarQube 的伺服器,SonarQube 是一個開源平臺,用於自動代碼審核和靜態分析,以發現錯誤和安全漏洞。
Kottmann 認為,有成千上萬的公司由於未能正確保護 SonarQube 安裝而暴露了專有代碼。
不過,網絡安全公司 ImmuniWeb 的創始人兼執行長 Ilia Kolochenko 指出,「從技術角度來看,這次的洩露並不算很嚴重……若沒有每天的支持和改進,原始碼也會迅速貶值」。
儘管如此,這樣大規模的洩露事件原因還是值得引起注意。
代碼被公開之痛
每一次原始碼被公開,伴隨著的都是巨大的損失。
我們舉幾個例子,大家就明白了。
大家一定還記得大疆前員工將含有公司商業機密的代碼上傳到了 GitHub 的公有倉庫中,造成原始碼洩露的事件。
根據當時的報導,這些原始碼,攻擊者可以 SSL 證書私鑰,訪問客戶的敏感信息,比如用戶信息、飛行日誌等等。
根據評估,這次洩漏代碼一共給大疆造成了 116.4 萬的經濟損失。
再比如,2019 年 4 月,B 站整個網站後臺工程源碼洩露,並且「不少用戶密碼被硬編碼在代碼裡面,誰都可以用。」
當天,在開源及私有軟體項目託管平臺 GitHub 上,出現了名為「嗶哩嗶哩bilibili 網站後臺工程源碼」的項目。據悉,該項目由帳號「 openbilibili 」創建,由於網站的開源性質,登錄網站者均可使用。當日 B站股價跌 3.27%。
雖然很快被封禁,B 站也已經報警處理,但有不少網友克隆了代碼庫,隱患已經埋下,補救起來也頗為頭疼。
當然,除了主動洩露私鑰,還有很多人在 GitHub 上把登錄信息和明文密碼也都一起開源的。
而這些被開源的代碼一旦被黑客利用,造成的損失就要看黑客的心情了。
附原始碼洩漏完整受害者列表:
Johnson Controls(江森自控)
iLendx (聯想)
Banca Nazionale del Lavoro
Lenovo-smart-display-7
Adobe
Fastspring
GE Appliances(GE電器)
Mercury TFS
GovCloudRecords
MyDesktop
eMasurematics
Buckzy
TeamApt
Alpha FX
Covid Apps
Romeo Power
Digital Health Department
DRO Health
Elgin Industries
Berkeley Lights
Pwnee Studios
NYNJA
Tapway
BlocPower
Capital Technology Services
Lenovo(聯想)
AMI
insyde
Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
KaiOS
AMD
Chenyee / Gionee
Disney(迪士尼)
Mineplex
Daimler
Rockchip
HiSilicon(海思)
Aukey
Chunmi
Xiaomi's Kitchen Appliance Subsidiary
PUKKA
Roblox Corporation
Microsoft(微軟)
Motorola(摩託羅拉)
Qualcomm(高通)
Mediatek(聯發科)
Bahwan CyberTek
CryptoSoul
gms
ReactMobile
ЦЭККМП
Tactical Electronics
Siasun
雷鋒網雷鋒網(公眾號:雷鋒網)雷鋒網
參考資料:
【1】https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/?
【2】https://gitlab.com/gitlab-com/www-gitlab-com/issues/5555
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。