50 多家公司源代码被泄露！微软、AMD、华为海思纷纷中招

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

来自技术、金融、零售和其余领域的 50 多家知名公司内部软件源代码泄露！

瑞士开发人员 Tillie Kottmann 从微软、迪士尼、摩托罗拉、华为海思等公司获取了源代码，并发布在 GitLab 上的公共在线存储库中，任何人均可以访问该代码。

Tillie Kottmann 还在其 Twitter 帐户上发布了指向在线存储库的连接。

50 多家公司代码被泄露

泄漏代码的公共存储库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科技、GE家电、任天堂、Roblox、迪士尼、江森自控等知名公司，并且这个清单还在增加。

这些泄漏来自各类来源，也来自他们本身对配置错误的 Devops 工具的追捕，这些工具能够访问源代码。

在 GitLab 上的公共存储库中能够找到大量此类泄漏，这些泄漏的名称为“机密”，或者更贴切的标签为“机密和专有”。

据专一于银行业威胁和欺诈的研究人员 Bank Security 称，该信息库中发布了来自 50 多家公司的代码。不过，并不是全部文件夹都已填充，可是研究人员说在某些状况下还存在凭据。

开发人员认可，在发布代码以前，他们并不老是与受影响的公司联系，可是他们努力将发布所产生的负面影响最小化。Kottmann 说：“我会尽力防止发布中直接致使的任何重大问题。”

公司使用错误的 Devops 工具暴露代码

Kottmann 还表示，他们遵照移除要求，并乐意提供可加强公司基础架构安全性的信息。可是，一些公司甚至可能没有注意到其源代码已被在线发布。即便他们知道了，可能也不在意。一些注意到其代码公开的企业不会费心将其删除。至少在一个实例中，一家公司的几名开发人员只是想知道 Kottmann 是如何得到代码的，并无要求删除代码，反而认为“颇有趣”。

Kottmann 称，他们试图在发布硬编码凭证以前从公司的源代码中删除这些硬编码凭证，这些凭证一般用于建立后门程序，以避免发生更增强大的安全漏洞。

回顾在 Kottmann 的 GitLab 服务器上泄漏的一些代码，能够发现某些项目已由其原始开发人员公开发布，或者在好久之前进行了最后更新。

不过，开发人员表示，有更多公司使用错误的 Devops 工具配置了暴露源代码的公司。此外，他们正在探索运行 SonarQube 的服务器，SonarQube 是一个开源平台，用于自动代码审核和静态分析，以发现错误和安全漏洞。

Kottmann 相信，有成千上万的公司因为未能正确保护 SonarQube 安装而暴露了专有代码。

---

正如安全专家 Jake Moore 所说，将源代码提供给公众查看能够使网络攻击者更容易窃取公司的机密。

Jake Moore 说：“失去对互联网源代码的控制，就像把银行的蓝图交给劫匪同样。”