Изходният код на изложени в интернет хранилища на десетки компании в различни сфери на дейност (технологии, финанси, търговия на дребно, храни, електронна търговия, производство) е публично достъпен в резултат на неправилни конфигурации в тяхната инфраструктура.
Сред компаниите с изтекъл код са големи имена като Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (собственост на Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; и списъкът продължава да расте.
Изтичанията са събрани и изследвани от Tillie Kottmann, разработчик и reverse инженер, от различни източници и от собственото си проучване за неправилно конфигурирани инструменти deps, които предлагат достъп до изходния код.
Голяма част от тези изтичания, които идват с името “exconfidential” или по-етикетът “Confidential & Proprietary”, са налични в публично хранилище в GitLab.
Според Bank Security, изследователско звено, фокусирано върху банкови заплахи и измами, кодът на повече от 50 компании е публикуван в хранилището. Не всички папки са попълнени, но изследователите казват, че в някои случаи са налични идентификационни данни.
Сървърът на Kottmann показва код от fintech компании (Fiserv, Buczy Payments, Mercury Trade Finance Solutions), банки (Banca Nazionale del Lavoro), разработчици на управление на идентичността и достъпа (Pirean Access: One) и игри.
Kottmann заявява, че се намират кодирани идентификационни данни в леснодостъпните хранилища с твърди кодове, целящи да предотвратят директна вреда и да се избегне по-голямо нарушение.
„Опитвам се да направя всичко възможно, за да предотвратя всякакви основни заплахи, произтичащи директно от моите версии“, каза Kottmann.
Програмистът призна, че не винаги се свързват със засегнатите компании, преди да пуснат кода, но въпреки това полагат усилия да сведат до минимум отрицателното въздействие в резултат на публикуването.
Премахване
Kottmann казва също, че се приемат заявки за премахване и с удоволствие предоставят информация, която би засилила сигурността на инфраструктурата на дадена компания. Така изтичането от корпорацията Daimler AG, която стои зад марката Mercedes-Benz вече не присъства в хранилището. Помощ е оказана и на Lenovo.
Въпреки това, съдейки по броя на получените известия за DMCA и директен контакт от юридически или други представители, много компании може да не са запознати с това, че техни данни са изтекли.
Някои фирми, които забелязват, че кодът им става публичен, не се притесняват да го премахват. Поне в един случай няколко разработчици от една компания просто искат да знаят как Kottmann е получил кода и не са поискали да го свалят, пожелавайки му „приятно прекарване“.
Още разследвания
Преглед на някои от кодовете, изтекли на сървъра на GitLab на Kottmann, разкрива, че някои от проектите са били публично достояние още от първоначалния им разработчик или са били актуализирани за последно много отдавна.
Въпреки това, разработчикът ни каза, че има повече компании с неправилно конфигурирани инструменти devops, излагащи изходния код. Освен това те изследват сървъри, работещи със SonarQube, платформа с отворен код за автоматизиран одит на код и статичен анализ, за да разкрият грешки и уязвимости в сигурността.
Kottmann вярва, че има хиляди компании, които излагат патентен код, като не успяват да защитят правилно инсталациите на SonarQube.
В канал на Telegram, разработчикът предлага подробности за течовете от други компании, включително изтичането на Nintendo Gigaleak, съдържащо изходен код, репост за разработка (много графични прототипи) на множество класически игри (Super Mario World, отменен римейк на Zelda 2, Super Mario 64 , Легендата за Зелда: Окарина на времето).
Не е ясно каква част от кода на сървъра на Kottmann е патентована и трябва да бъде запазена частна.
Източник: По материали от интернет