50家科技巨头源码同时泄露,这次黑客把家底都端了
源代码相当于科技公司的命根子,这次竟然有50家巨头被一锅端。微软、Adobe、联想、AMD、任天堂、华为海思等知名企业的核心代码被公开挂在网上,堪称科技圈有史以来最大规模的源代码泄露事件。
绝密代码被挂网上卖
这些源码被发布在GitLab上一个公开存储库中,标签写着“绝密”和“保密&专有”。GitLab是全球第二大开源代码托管平台,获得谷歌重金投资,阿里巴巴也曾是其重要客户。安全研究人员发现这个仓库包含了超过50家公司的源码,不过有些文件夹是空的。
泄露者自称开发人员,他承认代码库中存在硬编码凭证,这是创建后门程序的常用手段。他在发布前尽可能删除了这些凭证,声称是为了“避免造成直接伤害或是助长更大的破坏”。他还坦白没有提前联系受影响的公司,但保证尽了最大努力减少负面影响。
银行设计图交给抢劫犯
安全专家用了一个贴切的比喻:在互联网上失去对源代码的控制,就像把银行的设计图交给抢劫犯。黑客可以通过阅读源码找到系统漏洞,发起精准攻击;竞争对手能复制出相同程序,窃取核心技术。
目前GitLab已应部分企业要求删除代码,比如梅赛德斯-奔驰母公司戴姆勒AG,联想的文件夹也已被清空。GitLab表示愿意配合公司移除代码请求,还乐意为企业提供信息帮助增强基础架构安全性。
错误工具配置成祸根
泄露原因正在调查中,开发团队认为是众多公司错误配置了SonarQube工具,导致源代码暴露。SonarQube是一个开源平台,用于自动代码审核和静态分析,帮助企业发现代码错误和安全漏洞。
网络安全公司创始人指出,成千上万的公司由于未能正确保护SonarQube安装而暴露了专有代码。不过他认为从技术角度看这次泄露并不算很严重,因为如果没有日常支持改进,源代码会迅速贬值。但这样大规模的泄露事件仍值得警惕。
大疆前员工酿116万损失
说起代码公开的代价,大疆的案例让人记忆犹新。一位前员工将含有公司商业机密的代码上传到GitHub公有仓库,导致源代码泄露。攻击者可利用SSL证书私钥访问客户敏感信息,包括用户数据和飞行日志。这次泄露最终给大疆造成116.4万元经济损失。
2019年B站也遭遇类似事件,整个网站后台工程源码在GitHub上被公开,不少用户密码硬编码在代码里谁都能用。当天B站股价下跌3.27%,虽然仓库被封禁但已有网友克隆代码库,隐患就此埋下。事后补救起来相当头疼,但损失已经造成。
硬编码密码成定时炸弹
更常见的是开发者把登录信息和明文密码一起开源到GitHub,这些硬编码凭证如同定时炸弹。一旦被黑客利用,造成的损失就要看攻击者的心情了。泄露者承认他们在发布前尽量删除这些凭证,但难免有漏网之鱼。
这次受害者名单长到让人眼花缭乱:江森自控、Adobe、通用电气、迪士尼、摩托罗拉、联发科,还有多家银行和科技公司。从智能设备制造商到汽车巨头,从芯片设计到软件开发商,几乎覆盖了整个科技产业链。
这次50家巨头源码集体泄露,你觉得自己的个人信息会不会因此面临更大风险?欢迎在评论区留言讨论,点赞分享让更多人知道这次科技圈的地震级事件。
