7月29日訊息,據外媒報道稱,微軟、Adobe、聯想、AMD、高通、聯發科、通用電氣、任天堂、迪士尼、華為海思等50家公司的原始碼被洩露在網上。
報道提到,遭洩露的原始碼被髮布在 GitLab 上一個公開儲存庫中,並被標記為 “exconfidential” (絕密),以及 “Confidential & Proprietary”(保密&專有)。
根據安全研究人員 Bank Security 提供的資訊,該儲存庫中大約包含了超過 50 家公司的原始碼。但有一些資料夾是空的,還有一些存在硬編碼憑證——一種建立後門的方式。
此外,開發人員Tillie Kottmann在受訪時稱,因為不安全的DevOps應用程式導致公司專有資訊暴露,他已經撤回原始碼。
對於上述事件,不少安全專家表示,“在網際網路上失去對原始碼的控制,就像把銀行的設計圖交給搶劫犯一樣。”
目前,Kottmann 已應部分企業的要求刪除了程式碼。例如 Daimler AG,梅賽德斯-賓士的母公司;聯想的資料夾也已經空空如也。針對有移除程式碼要求的公司,Kottmann表示願意遵守,並樂意提供資訊,“幫助公司增強基礎架構的安全性”。
事實上,從收到的 DMCA 通知數量(估計至多 7 份)和法律代表等的聯絡來看,許多公司仍對程式碼洩露事件不知情。另有部分公司沒有撤除程式碼的意思,甚至有公司覺得“挺有趣”,只想知道 Kottmann 是如何獲得程式碼的。
來自網路安全公司ImmuniWeb的創始人兼執行長伊利亞·科洛琴科(Ilia Kolochenko)觀點相左:“從技術角度來看,洩密沒什麼大不了。經檢查,大多數原始碼都是一文不值的,除非您有其他一些技術。
此外,原始碼在沒有日常支援和改進的情況下會迅速貶值。因此,不擇手段的競爭對手不可能獲得很大的價值,除非他們只專注某款非常具體的軟體。”