华为海思、高通、联想等50家公司源代码遭泄露

近日，知名游戏厂商任天堂被爆大批游戏的源代码遭到泄露，对此，业界甚至以“Gigaleak”一词形容其泄露的代码量之大。而追根溯源，这或许今年5月份任天堂遭到史上最大规模的黑客攻击有关，本次泄露的源代码包含了 Super NES、Game Boy 和 N64 平台的 Mario、Mario Kart、Zelda、F-Zero 等游戏的可编译代码和素材。

这些代码中还隐藏着许多从未发布过的预发行游戏艺术和声音文件，以及一些游戏的完全可玩的原型版本。对此，任天堂拒绝置评，不过，泄露的巨大规模及代码的复杂性暗示了该事件的真实性。

然而，一波未平一波又起，在安全领域，继任天堂之后，据外媒报道，全球有超过 50 家企业的源代码遭到泄露，其中覆盖科技、金融、零售、食品、电子商务、制造业等领域，涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。值得注意的是，与任天堂遭到黑客攻击的泄露方式有所不同，这些企业的源代码泄露部分原因或源于技术设施配置操作不正确引起。

公司使用错误的Devops工具暴露代码

据外媒 Bleeping Computer 报道，相关的漏洞是由一位名为 Tillie Kottmann 的瑞士软件开发者兼逆向工程师收集完成的，他通过各种现有的第三方来源以及从配置错误的 DevOps 应用程序中积累了大量的源代码，并将这些漏洞以“exconfidential” （绝密）和“Confidential & Proprietary”（保密&专有）的名称发布在任何人都可以访问的GitLab公开存储库中。

根据安全研究人员Bank Security 提供的信息，该存储库中大约包含了超过50家公司的源码。但有一些文件夹是空的，还有一些存在硬编码凭证——一种创建后门的方式。

此外，开发人员Tillie Kottmann 提到，一些代码库中确实存在硬编码凭证，他在发布前已尽可能地将其删除，“以避免造成直接伤害或是助长更大的破坏”。另外，他也坦承自己并未在发布前与每一家受影响的公司进行联系，但他们确保自己“尽了最大的努力将负面影响最小化”。

Kottmann 的 Twitter 账户简介写道，“这里可能正在泄露您的源代码。”该账户的置顶推文是一条众包帖，问道“您认为机密信息、文档、二进制文件和源代码，哪一种最应该向公众公开……”

目前，Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG，梅赛德斯-奔驰的母公司；联想的文件夹也已经空空如也。针对有移除代码要求的公司，Kottmann表示愿意遵守，并乐意提供信息，“帮助公司增强基础架构的安全性”。

事实上，从收到的 DMCA 通知数量（估计至多 7 份）和法律代表等的联系来看，许多公司仍对代码泄露事件不知情。另有部分公司没有撤除代码的意思，甚至有公司觉得“挺有趣”，只想知道 Kottmann 是如何获得代码的。

而关于源代码泄露的原因，开发团队也在继续寻找原因。

附源代码泄漏完整受害者列表：

Johnson Controls（江森自控）

iLendx  （联想）

Banca Nazionale del Lavoro

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances（GE电器）

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo（联想）

AMI

insyde

Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/

KaiOS

AMD

Chenyee / Gionee

Disney（迪士尼）

Mineplex

Daimler

Rockchip

HiSilicon（海思）

Aukey

Chunmi

Xiaomi's Kitchen Appliance Subsidiary

PUKKA

Roblox Corporation

Microsoft（微软）

Motorola（摩托罗拉）

Qualcomm（高通）

Mediatek（联发科）

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun

小结

从 Kottmann 在 GitLab 服务器上公布的部分代码显示，我们发现一些项目是由其原始开发者公开的，亦或是上一次该项目的更新早已是很久以前的事情。

不过，Kottmann 表示，仍有不少公司使用错误配置的 Devops 工具公开源代码。此外，他们也正仍在研究及探索运行着 SonarQube 的服务器，SonarQube 是一个用于自动代码审核和静态分析的开源平台，以发现 Bug 和安全漏洞。Kottmann 认为，目前有成千上万的公司由于未能正确使用及防护 SonarQube 而导致自己的私有代码泄露。

每一次源代码被公开，伴随着的都是巨大的损失。

据悉，Github网站是全球最大的代码分享社区，然而Github却经常发生一些信息泄露事件，去年，大疆前员工泄露公司源代码，深圳法院以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金20万人民币。而这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失116.4万元人民币。

除此之外，一名为“openbilibili”的用户在Github上创建“go-common”代码库。据爆料称，该代码库为B站网站后台工程源码，其中包含大量B站用户密码。

据微博大V@互联网的那点事描述，源代码库中的用户名显示哔哩哔哩的邮箱，密码中则是“Test”+日期，应该是官方测试所用，暂未发现用户的账号密码泄露。B站未回应。

源代码泄露一事频频发生，许多安全专家表示：“失去对Internet上源代码的控制，就像把银行的设计交给了强盗一样。”

但也有来自网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)观点相左：“从技术角度来看，泄密没什么大不了。经检查，大多数源代码都是一文不值的，除非您有其他一些技术。

此外，源代码在没有日常支持和改进的情况下会迅速贬值。因此，不择手段的竞争对手不可能获得很大的价值，除非他们只专注某款非常具体的软件。”

对此，你怎么看？

责编：Yvonne Geng