出品 | 搜狐科技
编辑 | 张雅婷
7月29日消息,据外媒报道称,微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼、华为海思等50家公司的源代码被泄露在网上。据外媒报道,遭泄露的源码被发布在 GitLab 上一个公开存储库中,并被标记为 “exconfidential” (绝密),以及 “Confidential & Proprietary”(保密&专有)。
根据安全研究人员 Bank Security 提供的信息,该存储库中大约包含了超过 50 家公司的源码。但有一些文件夹是空的,还有一些存在硬编码凭证。(一种创建后门的方式。)
此外,开发人员 Tillie Kottmann 提到,一些代码库中确实存在硬编码凭证,他在发布前已尽可能地将其删除,“以避免造成直接伤害或是助长更大的破坏”。另外,他也坦承自己并未在发布前与每一家受影响的公司进行联系,但他们确保自己“尽了最大的努力将负面影响最小化”。
Kottmann 的 Twitter 账户简介写道,“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖,问道“您认为机密信息、文档、二进制文件和源代码,哪一种最应该向公众公开……”
安全专家表示:“失去对Internet上源代码的控制,就像把银行的设计交给了强盗一样。”
Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann 表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。
而关于源代码泄露的原因,开发团队也在继续寻找原因。
附源代码泄漏完整受害者列表:
Johnson Controls(江森自控)
iLendx (联想)
Banca Nazionale del Lavoro
Lenovo-smart-display-7
Adobe
Fastspring
GE Appliances(GE电器)
Mercury TFS
GovCloudRecords
MyDesktop
eMasurematics
Buckzy
TeamApt
Alpha FX
Covid Apps
Romeo Power
Digital Health Department
DRO Health
Elgin Industries
Berkeley Lights
Pwnee Studios
NYNJA
Tapway
BlocPower
Capital Technology Services
Lenovo(联想)
AMI
insyde
Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
KaiOS
AMD
Chenyee / Gionee
Disney(迪士尼)
Mineplex
Daimler
Rockchip
HiSilicon(海思)
Aukey
Chunmi
Xiaomi's Kitchen Appliance Subsidiary
PUKKA
Roblox Corporation
Microsoft(微软)
Motorola(摩托罗拉)
Qualcomm(高通)
Mediatek(联发科)
Bahwan CyberTek
CryptoSoul
gms
ReactMobile
ЦЭККМП
Tactical Electronics
Siasun
