|
|
51CTO旗下网站
|
|
移步端
  • 50 多师商厦源代码被泄露!迪斯尼、AMD、华为海思纷纷中招

    菲律宾开发人员 Tillie Kottmann 副微软、迪士尼、迪斯尼、华为海思等企业获取了源代码,并颁发在 GitLab 上的集体在线存储库中,任何人都得以访问该代码。

    笔者:芒果果 来源:SegmentFault| 2020-07-30 09:56

    来自技术、国民经济、零售和任何领域的 50 多师享誉企业内部软件源代码泄露!

    菲律宾开发人员 Tillie Kottmann 副微软、迪士尼、迪斯尼、华为海思等企业获取了源代码,并颁发在 GitLab 上的集体在线存储库中,任何人都得以访问该代码。

    Tillie Kottmann 还在伊 Twitter 大事录上公布了目的在线存储库的链接。

    50 多师商厦代码被泄露

    泄漏代码的集体存储库中包括微软、Adobe、联想、AMD、高通、迪斯尼、华为海思、联发科技、GE小家电、任天堂、Roblox、迪士尼、江森自控等著名企业,而且这个清单还在加强。

    该署泄漏来自各种来源,也来自他们自己对安排错误的 Devops 工具的办案,该署家伙得以访问源代码。

    在 GitLab 上的集体存储库中得以找到大量此类泄漏,该署泄漏的称谓为“地下”,或者更适用的竹签为“地下和专有”。

    据专注于银行业威胁和欺诈的研讨人员 Bank Security 称,该信息库中宣告了来自 50 多师商厦的编码。不过,并非所有文件夹都已填充,但是研究人员说在少数情况下还生活凭据。

    付出人员承认,在发表代码之前,她们并不总是与受影响之合作社联系,但是他们努力将颁布所产生之负面影响最小化。Kottmann 说:“我会尽力防止发布中直接导致的其他重大题材。”

    商店采取不当的 Devops 工具暴露代码

    Kottmann 还表示,她们遵守移除要求,并愿意提供可提高企业基础架构安全性的消息。但是,一部分商店甚至可能没有注意到其源代码已把在线发布。即使他们懂得了,可能也不在乎。一部分注意到其代码公开的集团不会费心将他删除。至少在一番实例中,一家企业的几名开发人员只是想知道 Kottmann 是如何获得代码的,并没有要求删除代码,反而觉得“很有意思”。

    Kottmann 称,她们准备在发表硬编码凭证之前从企业的编码中删除这些硬编码凭证,该署证据通常用于创建后门程序,以免发生更加有力的平安漏洞。

    回首在 Kottmann 的 GitLab 传感器上泄漏的组成部分代码,可以发现某些品种已由他固有开发人员公开发表,或者在很久以前进行了最终更新。

    不过,付出人员表示,有更多公司采取不当的 Devops 工具配置了展露源代码的合作社。另外,她们正在探索运行 SonarQube 的蒸发器,SonarQube 是一番开源平台,用于自动代码审核和变态分析,以发现错误和安全漏洞。

    Kottmann 相信,有众多的合作社由于未能科学保护 SonarQube 安装而暴露了专有代码。

    正如安全专家 Jake Moore 所说,名将源代码提供给群众查看可以行使网络攻击者更容易窃取公司的地下。

    Jake Moore 说:“失去对互联网源代码的左右,就像把银行的蓝图交给劫匪一样。”

    【编纂推荐】

    1. 2020年网络安全大事记(前年)
    2. 任天堂源代码泄露,引出《最佳马里奥64》隐身24年之角色
    3. Dave数量遭泄露,影响750万用户
    4. API团组织须知的十大安全威胁
    5. VMware通告网络安全威胁调研报告
    【义务编辑: 华轩 TEL:(010)68476606】

    点赞 0
  • 安全  泄漏  艺术
  • 分享:
    大家都在看
    猜你喜欢
  • 24H热文
    一周话题
    每月获赞
  • 震情期间游戏行业网络攻击网络安全等级保护工作流程Webshell 尖端样本收集50 多师商厦源代码被泄露!迪斯尼、AMD、华为海思纷纷中招东盟第一以网络攻击为由,制裁中国、比利时、叙利亚比利时黑客利用虚假招聘信息对美发起新一轮攻击美丽能源部和农技部门遭受德国黑客新一轮网络攻击Windows 10安全指南:如何通过配置全方位保护您的微机
  • 50 多师商厦源代码被泄露!迪斯尼、AMD、华为海思纷纷中招东盟第一以网络攻击为由,制裁中国、比利时、叙利亚任天堂源代码泄露,引出《最佳马里奥64》隐身24年之角色2020年网络安全大事记(前年)权威解读 | 网络安全等级保护2.0专业体系以及主要标准错误配置致数十家公司源代码泄露必发娱乐登入网络安全等级保护定级安全启动存在严重漏洞,几乎全部Linux和Windows装备受影响
  • Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个本子受影响3 分钟黑进阿里内网 + 500 永恒薪?阿里 "天才黑客" 回应:假的,已不再做安全权威解读 | 网络安全等级保护2.0专业体系以及主要标准必发娱乐手机版网络安全事件回顾(境内篇)50 多师商厦源代码被泄露!迪斯尼、AMD、华为海思纷纷中招2020前年十大网络安全事件必发娱乐手机版网络安全事件回顾(国际篇)绿盟科技推出“星云”合作计划,扶持合作伙伴共建安全能力
  • 订阅专栏+更多

    大数据安全运维实战

    大数据安全运维实战

    CDH+Ambari
    共20章 | 数据陈浩

    91人口订阅学习

    实操老:Jenkins接轨交付和后续部署

    实操老:Jenkins接轨交付和后续部署

    微服务架构下的无部署
    共18章 | freshman411

    184人口订阅学习

    思科交换网络安全指南

    思科交换网络安全指南

    安全才能无忧
    共5章 | 思科小牛

    109人口订阅学习

    视频课程+更多

    订阅51CTO邮刊

    点击这里查看样刊

    订阅51CTO邮刊

    51CTO劳务号

    51CTO官微

    <strike id="d98a3e75"></strike>

      
         
      1.