错误配置致数十家公司源代码泄露
由于基础设施的错误配置导致数十家公司源代码泄露,涵盖科技、金融、零售、食品、电商和制造业。泄露代码的公开库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、Mediatek、通用、任天堂、Roblox、迪斯尼、强生等,而且泄露列表仍在更新中。
代码泄露是由逆向工程师Tillie Kottmann 从不同渠道以及错误配置的devop工具中获取的。Bank Security称,一位关注银行威胁和欺诈的研究人员发现该gitlab库中有超过50家企业的代码。虽然并不是所有的文件夹都进行计数了,但研究人员称其中含有凭证信息。
Kottmann的服务器上还有来自金融科技公司、银行、身份和访问管理、游戏企业的源代码。Kottmann称在代码库中发现了硬编码的凭证,他已经尽可能删除凭证等重要信息,以防由于代码泄露导致的进一步信息或数据泄露。Kottmann承认在公开泄露的代码前没有与受影响的企业取得联系,但已经采取了措施来减少公布这些信息带来的负面影响。
Kottmann称其也接受删除(下架)的请求,并且乐于提供加强企业基础设施安全的信息。Daimler AG泄露的信息已经从库中删除了,另一个空文件夹中有联想的名字。
从目前接收到的DMCA通知的数量以及与企业直接联系得到的信息,许多公司可能还没有意识到代码泄露事件。
许多了解到代码泄露的企业似乎并不急于移除这些代码。这些企业的许多开发者都想要知道Kottmann 是怎么样获得这些代码的,而不是要求移除这些代码。
研究人员检查Kottmann的GitLab服务器发现其中一些项目是由原始开发者公开的,或者上次更新时间距今已经很久了。
但有开发者告诉研究人员称有许多使用了错误配置的devops工具可能会泄露源码。Kottmann 相信有上千家企业由于没有正确地确保SonarQube 安装的安全导致暴露了专用代码。
在Telegram 上,有开发者提供了关于代码泄露的细节,包括Nintendo泄露了多个经典游戏的包括源码和开发库,涉及超级马里奥世界、超级马里奥64,塞尔达传奇:奥卡琳娜的时间等。
更多细节参见:
https://www.polygon.com/2020/7/26/21339018/nintendo-gigaleak-super-mario-64-zelda-pokemon-what-is-it-snes
目前还不清楚Kottmann 的服务器上有哪些代码是专用的或应该保密的。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
朝鲜黑客窃取网上商店的付款数据
一份新的报告表明,针对常见的美国和欧洲的网上商店的攻击与朝鲜政府资助的黑客有关。 Sansec 的研究表明,Lazarus/HIDDEN COBRA 黑客组织最早于 2019 年 5 月入侵美国大型网上零售商店,并植入了恶意代码。 最新研究表明,黑客组织现在在网站上插入窃取客户付款数据的脚本,扩大了针对在线商店的攻击面。 Sansec 研究人员将这些攻击行动归因于 HIDDEN COBRA,因为重用了之前的攻击基础设施。 Magecart 攻击 Magecart 旨在窃取用户付款数据,而 HIDDEN COBRA 也正在设法攻击大型零售网上商店。 为了获得未经授权的访问权限,攻击者将恶意脚本注入商店的结算页面,捕获客户的付款信息(例如付款卡号),将其发送到 HIDDEN COBRA 控制的服务器。 根据 Sansec 的监测发现,影响范围可能高达数百万,平均每天感染 30 到 100 个左右。 Sansec 的研究人员确定了最近的攻击行动与先前朝鲜黑客的攻击行动存在的多个联系。 研究人员发现了多次旨在窃取用户付款信息的攻击行动,详情可见报告内容。 Sansec 认为,至少从 2019 ...
- 下一篇
Gartner 预测这么多年,究竟靠不靠谱?
多年以来,Gartner的研究数据与咨询服务被认为是客观技术思想领导的权威来源。作为全球IT市场预测与咨询的绝对龙头,Gartner每年对外输出数十份市场研究报告,报告收费甚至高达人民币数十万元一份。所以Gartner每年预测的东西到底准不准?实现率有多少? 基于多年对IT及前沿技术的关注和积累,现对Gartner 2016年-2020年的年度战略技术趋势报告和安全项目报告进行回顾与应用情况评估。 报告概述 报告回顾了2016年-2020年Gartner的年度战略技术趋势报告和安全项目报告,这是具有代表性的两份报告。报告将按年份依次回顾每年的技术预测,并根据当前的应用情况评判是否准确,同时列出该技术领域的现有代表厂商。 主要回顾报告包括: 《Gartner年度十大战略技术趋势》(2016-2020) 《Gartner年度十大安全项目》(2016-2020) 主要发现 总体来看,除了2016年在十大信息安全技术上的预测有些偏差,其他年份报告的趋势预测准确率均在90%的水平,所以Gartner被誉为全球TOP 1的咨询公司当之无愧。 而根据近5年来预测和真实情况对比,以下技术和项目值得继续...
相关文章
文章评论
共有0条评论来说两句吧...