网传 SonarQube 平台漏洞被利用，大量源码泄露

2021 年 10 月 28 日，公众号“红数位”发文称 20 日未知攻击者入侵博世 iSite 服务器，窃取并泄露了这家制造巨头的 5G 物联网连接平台的源代码。

根据 cybernews 的说法，入侵者称其利用 SonarQube 平台的 0 Day 漏洞获取这些信息，并公布了一些入侵过程的截图，且承诺未来会在黑客论坛公布详细的侵入过程。

入侵者在 184 KB 的文件中共享了 iSite 服务器的源代码，其中包括 11 个文件夹，涉及 iSite 身份验证、消息服务、以及多种用 JavaScript 编写的设备控制器服务。

除了公司机密类数据外，泄露出来的博世 iSite 文件似乎不包含可识别的个人用户信息，例如博世员工的帐户或其他敏感的个人数据。

由于 SonarQube 作为平台用于为源代码进行安全扫描，所以黑客得以接触博世 iSite 源码，根据红数位的报导，目前不止这一家遭到泄露：

23 号：入侵者声称拿到我国疾控中心 HIS 源码。

25 日，发帖人声称获得了梅赛德斯-奔驰中国部分开发源码。

26 号：发帖人声称公开的是我公安系统的医疗、保险、人事的 SRC 源码。

目前的情况是由于入侵者与博世的赎金谈判失败，这些档案有可能已经完全泄露。

提醒使用 SonarQube 的单位，请务必做好服务器的信息安全工作。