可以說是有史以來最大範圍的原始碼洩露。微軟、Adobe、聯想、AMD、高通、聯發科、通用電氣、任天堂、迪士尼、華為海思等 50 家科技公司都中招。
原始碼就是指最初始程式的程式碼,主要針對開發者,用戶使用的應用程式都是經過原始碼編譯打包後呈現。
公司專有程式碼對網路創意公司來說是等於命脈,掌握編寫方式,就可複製出相同的程式,或透過閱讀原始碼找到程式漏洞任意攻擊。所以網路興起後,世界各國都立法保護原始碼。
The source code related to over 50 companies has been leaked and posted on a public repository.
In some cases there are hard-coded credentials.
Here the targeted Banks:
– 1 Italian Bank: @BNL_PR @BNL_PR
– 2 Fintech in the US: @Fiserv, @BuckzyPayments#bank #databreach pic.twitter.com/PujSndzaDe— Bank Security (@Bank_Security) July 26, 2020
據外媒報導,遭洩露的原始碼發表在 GitLab 公開程式庫,並標記為「exconfidential」(絕密)及「Confidential & Proprietary」(保密及專有)。
GitLab 是倉儲管理系統的開源項目,全球第二大開原始碼代管平台,Google 重金投資加持的開源獨角獸,阿里巴巴一度是重要用戶。
據安全研究人員 Bank Security 提供資訊,該程式庫約含超過 50 家公司原始碼,但有一些檔案夾是空的,還有一些有硬編碼憑證(建立後門的方式)。
此外,開發人員 Tillie Kottmann 提到,一些程式在程式庫確實有硬編碼憑證,他在發表前已盡可能移除,「以避免造成直接傷害或助長更多破壞」。另外,他也坦承自己並未在發表前與每家受影響公司聯繫,但確保「盡了最大努力將負面影響縮小」。
Kottmann 的 Twitter 帳號簡介寫著「這裡可能正在洩露您的原始碼」,帳號置頂推文是個問題,問推友「你認為機密資訊、檔案、二進位檔案和原始碼,哪種最應該公開?」
使用錯誤的 Devops 工具暴露了程式碼
對上述事件,不少安全專家表示,「失去對來源碼的控制,就像把銀行設計圖交給銀行搶犯」。
Kottmann 已應部分企業要求移除程式碼。如戴姆勒(Daimler AG),聯想檔案夾也空空如也。對要求移除程式碼的公司,Kottmann 表示願意遵守,並樂意提供資訊,「幫助公司增強基礎架構安全性」。
而關於原始碼洩露的原因,開發團隊也還在找。
Kottmann 稱,他們嘗試發表硬編碼憑證前從公司原始碼移除這些硬編碼憑證,這些憑證通常用於建立後門程式,以免發生更大的安全漏洞。
回顧在 Kottmann 的 GitLab 伺服器洩漏的程式碼,可發現某些項目由原始開發人員公開發表,或是很久以前的最後更新檔。
不過開發人員表示,有更多公司使用錯誤的 Devops 工具配置暴露原始碼的公司。此外,他們正在探索執行 SonarQube 的伺服器,SonarQube 是開源平台,用於自動程式碼審核和靜態分析,以發現錯誤和安全漏洞。
Kottmann 認為,有成千上萬家公司由於未能正確保護 SonarQube 安裝而暴露專有程式碼。
不過,網路安全公司 ImmuniWeb 創始人兼首席執行長 Ilia Kolochenko 指出,「從技術角度來看,這次洩露不算很嚴重……若沒有每天支援改進,原始碼也會迅速貶值」。
儘管如此,這大規模洩露事件還是值得注意。
程式碼被公開之痛
每次原始碼被公開,伴隨的都是巨大損失。舉幾個例子,大家就明白了。
大疆前員工將含公司商業機密的程式碼上傳到 GitHub 的公用程式庫,造成原始碼洩露。據當時報導,攻擊者可 SSL 證書私鑰,存取用戶的敏感資訊,如用戶資訊、飛行日誌等。
根據評估,這次洩漏程式碼一共為大疆造成 116.4 萬人民幣損失。
再如 2019 年 4 月,B 站整個網站背景工程原始碼洩露,且「不少用戶密碼被硬編碼在程式碼裡,誰都可以用」。
當天,在開源及私有軟體項目託管平台 GitHub,出現名為「嗶哩嗶哩 bilibili 網站背景工程源碼」項目,由帳號「openbilibili」建立,由於網站開源性質,登入網站者均可使用。當日 B 站股價下跌 3.27%。
雖然很快被封,B 站也警示處理,但有不少網友已複製程式碼,埋下後患,補救起來也頗頭痛。
當然,除了主動洩露私鑰,還有很多人在 GitHub 把登入資訊和明文密碼一起開源。而這些被開源的程式碼一旦被駭客利用,會造成多少損失就要看駭客心情了。
附上原始碼洩漏受害者完整名單:
- Johnson Controls(江森自控)
- iLendx(聯想)
- Banca Nazionale del Lavoro
- Lenovo-smart-display-7
- Adobe
- Fastspring
- GE Appliances(奇異電器)
- Mercury TFS
- GovCloudRecords
- MyDesktop
- eMasurematics
- Buckzy
- TeamApt
- Alpha FX
- Covid Apps
- Romeo Power
- Digital Health Department
- DRO Health
- Elgin Industries
- Berkeley Lights
- Pwnee Studios
- NYNJA
- Tapway
- BlocPower
- Capital Technology Services
- Lenovo(聯想)
- AMI
- insyde
- Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
- KaiOS
- AMD
- Chenyee / Gionee
- Disney(迪士尼)
- Mineplex
- Daimler(戴姆勒)
- Rockchip
- HiSilicon(海思)
- Aukey
- Chunmi
- Xiaomi’s Kitchen Appliance Subsidiary
- PUKKA
- Roblox Corporation
- Microsoft(微軟)
- Motorola(摩托羅拉)
- Qualcomm(高通)
- Mediatek(聯發科)
- Bahwan CyberTek
- CryptoSoul
- gms
- ReactMobile
- ЦЭККМП
- Tactical Electronics
- Siasun