Исходные коды десятков компаний просочились в открытый доступ

Дата: 27.07.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Исходный код из открытых репозиториев различных международных компаний, работающих в разных отраслях деятельности (торговая, финансовая, технологичная, производственная, электронная коммерция и т. д.) стал доступен для всех в результате неправильной настройки инфраструктуры хранилища.

Появившийся в открытом доступе репозиторий утекших исходных кодов включает в себя множество громких имен: AMD, Microsoft, Adobe, Motorola, Disney, Nintendo, Hisilicon, Lenovo и многие другие. Причем перечень пострадавших компаний продолжает неуклонно расти.

Утечки данных были обнаружены и собраны воедино инженером и разработчиком Тилли Коттманом. Специалист собрала практически все найденные исходные коды компаний в собственном репозитории на Gitlab. Коттман отмечает, что на данный момент в репозитории содержатся утекшие исходные коды более полусотни компаний из разных стран мира.

Также Тилли Коттман отметила, что она вместе со своей командой ищут учетные данные в легкодоступных и незащищенных репозиториях. После обнаружения они стараются исправить ситуацию, чтобы не допустить нанесения прямого ущерба владельцу данных и обнаружения информации киберпреступниками, которые могут воспользоваться ими для совершения серьезных преступлений.

Комментируя произошедшее, Коттман отметила: «Я делаю все, что в моих силах, чтобы не допустить какие-либо серьезные вещи, которые потенциально могут возникать сразу после моих релизов на платформе GitLab».

Коттман говорит о том, что они не всегда могут связаться с компаниями, которые допустили утечку исходного кода, но они стараются, чтобы к минимуму свести отрицательное воздействие, которое обязательно возникает после публикации кода на GitLab.

Некоторые компании, которые были извещены об утечке исходного кода, вообще не предпринимают никаких действий, чтобы удалить его. Например, в одном из случаев представители компании просто уточнили у Коттман, как именно она смогла найти исходный код, а в другом случае специалист одной из пострадавших компаний и вовсе сказал ничего не удалять и пожелал Коттман «много веселья».

Большая часть компаний имеют неправильно сконфигурированные инструменты devops, что и позволяет получить их исходный код. Тилли Коттман со своей командной также проводят исследования серверов, на которых работает SonarQube – платформа с открытым исходным кодом для автоматического аудита кода и статистической аналитики для обнаружения ошибок, уязвимостей кибербезопасности.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

5 × два =