小米開源代碼在哪(微軟、華為海思、小米等全球50家企業內部源代碼外泄，公開訪問)

“失去對互聯網源代碼的控制，就像把銀行的設計藍圖交給劫匪一樣。”

由于基礎設施配置錯誤，來自多個領域包括科技、金融、零售、食品、電子商務以及制造業的數十家企業的源代碼通過一套公共 repo 被批量公開。

此次泄露的源代碼來自微軟、Adobe、聯想、AMD、高通、摩托羅拉、海思（華為所有）、聯發科、GE 家電、小米、任天堂、Roblox、迪士尼以及江森自控等知名企業。

大量源代碼的公開使人們得以深入了解這些企業的產品，同時也讓網絡攻擊者與惡意人士更輕松地收集其中包含的機密信息。

相關漏洞由開發人員兼逆向工程師 Tillie Kottmann 收集完成，除了現成來源之外，他自己也找到不少 DevOps 工具中的配置錯誤（可以通過這些工具訪問源代碼）。

據報道，這些被標記為“絕密”及“保密 / 專有”的信息被 Kottmann 發布在在線 repo 管理平臺 GitLab 之上，目前任何人皆可輕松訪問。這位開發者甚至在自己的 Twitter 賬戶上公開發布了相關 repo 的鏈接。

不過隨后 Kottmann 已經根據一些企業的要求刪除了這些源代碼。目前，repo 當中不再包含戴姆勒（梅賽德斯 - 奔馳的母公司）的泄露代碼。但從收到的 DMCA 通知數量（估計最多 7 份）以及法律或其他代表的直接聯系情況來看，很多企業甚至還沒意識到自己的代碼已經外泄，所以安全威脅依然存在。

Kottmann 的 Twitter 賬戶簡介寫道，“這里可能正在泄露您的源代碼。”該賬戶的置頂推文是一條眾包帖，問道“您認為機密信息、文檔、二進制文件和源代碼，哪一種最應該向公眾公開……”

源碼中存在很多不安全的編碼方式

Kottmann 的服務器顯示，部分代碼來自金融科技公司（Fiserv, Buczy Payments, Mercury Trade Finance Solutions）、銀行（Banca Nazionale del Lavoro）以及身份與訪問管理（Pirean Access: One）與游戲開發商。

Kottmann 還特地指出，在這些易于訪問的代碼 repo 中有很多硬編碼形式的憑證，并且他在 Twitter 上放出了部分源代碼截圖。

Kottmann 隨后表示，他們在發布源代碼之前曾經嘗試刪除直接保存在其中的硬編碼憑證，這類憑證通常用于在程序中創建后門，以避免曝光更嚴重的安全漏洞。

這位開發者告訴媒體，“我已經盡力防止因發布源代碼而直接引發任何重大問題。”但這位開發者同時也承認，在發布代碼之前，他并沒有跟每一家受影響的企業取得聯系。

Kottmann 還提到，他們愿意配合撤除要求，并為各企業提供用于增強基礎設施安全性的建議。戴姆勒公司的代碼已經被撤除，聯想公司的對應文件夾中也是空空如也。但從收到的 DMCA 通知數量（估計最多 7 份）以及法律或其他代表的直接聯系情況來看，很多企業甚至還沒意識到自己的代碼已經外泄。

還有一部分企業在知悉情況后，也并不打算撤除自己外泄的代碼。某家公司的開發人員只是簡單表示自己很好奇，想知道 Kottmann 是怎么做到的，而且覺得整件事“非常有趣”。

威脅仍在

回顧 Kottmann 在 GitLab 服務器上公布的部分代碼，可以看到某些項目此前就已經被原始開發者直接發布，或者已經很長時間沒有進行過更新。

但 Kottmann 告訴媒體，目前還有不少企業的 DevOps 工具中存在嚴重的配置錯誤，并直接導致源代碼不慎流出。此外，他們還在批量搜索運行有 SonarQube 的服務器，SonarQube 是一套開源平臺，主要用于自動代碼審核與表述分析以識別各類 bug 與安全漏洞。

Kottmann 認為，目前成千上萬的企業由于未能正確保護 SonarQube 而導致專有代碼面臨著外泄的風險。

在 Telegram 頻道中，這位開發人員提供了關于其他安全漏洞的更多詳細信息，其中還涉及在網上被稱為“Gigaleak”的任天堂外泄代碼。此次任天堂源代碼泄露，尤其受到游戲行業的關注。

我們可以在其代碼中看到多款經典游戲的開發 repo（包含大量圖形原型，具體涉及〈超級馬力歐世界〉、被取消的〈塞爾達 2〉重制版、〈超級馬力歐 64〉以及〈塞爾達傳說：時之笛〉）。

正如安全專家 Jake Moore 在科技博客 Tom’s Guide 中所言，將源代碼公開示眾，會導致網絡攻擊者更容易竊取到企業內的機密信息。

Moore 強調稱，“失去對互聯網源代碼的控制，就像把銀行的設計藍圖交給劫匪一樣。”“如果最終用戶在企業之前發現自己的數據被泄露，這相當于在用戶的傷口上撒鹽。”

銀行安全（Bank Security）在 Pastebin 上發布了受影響公司的完整列表。

附：源代碼泄露完整受害者名單（Source Code Leakage Full victims list）：

Johnson Controls

iLendx

Banca Nazionale del Lavoro

Lenovo-smart-display-7

Adobe

Fastspring

GE Appliances

Mercury TFS

GovCloudRecords

MyDesktop

eMasurematics

Buckzy

TeamApt

Alpha FX

Covid Apps

Romeo Power

Digital Health Department

DRO Health

Elgin Industries

Berkeley Lights

Pwnee Studios

NYNJA

Tapway

BlocPower

Capital Technology Services

Lenovo

AMI

insyde

Erobbing / Luobin They make various Android based devices, like DVRs and Law

Enforcement devices. http://www.erobbing.com/

KaiOS

AMD

Chenyee / Gionee

Disney

Mineplex

Daimler

Rockchip

HiSilicon

Aukey

Chunmi

Xiaomi's Kitchen Appliance Subsidiary

PUKKA

Roblox Corporation

Microsoft

Motorola

Qualcomm

Mediatek

Bahwan CyberTek

CryptoSoul

gms

ReactMobile

ЦЭККМП

Tactical Electronics

Siasun

參考閱讀：

https://www.businessinsider.com/software-source-code-leaked-microsoft-nintendo-2020-7

https://www.bleepingcomputer.com/news/security/source-code-from-dozens-of-companies-leaked-online/

關注我并轉發此篇文章，私信我“領取資料”，即可免費獲得InfoQ價值4999元迷你書！