首页>动态 >内容

DevOps应用程式配置不当微软、Adobe等50家知名企业原始码全都露

动态2021-02-12 12:01:16
最佳答案 情境示意图,photo by Jan Antonin Kolar on unsplash

情境示意图,photo by Jan Antonin Kolar on unsplash

一名来自瑞士的开发人员暨反向工程师Tillie Kottmann近日在GitLab上,公开了逾50家知名企业的原始码,从微软、Adobe、Amd到台湾的联发科(Mediatek),而Kottmann则说,这是因为这些公司的DevOps应用程式配置不良才让他有机可趁,存取了它们的私有原始码。

Kottmann把所有的原始码都置放在GitLab的公开储存库中,而且透过Twitter公开了连结,可能引起了太大的骚动,Kottmann随后自Twitter上移除了档案连结,不过其GitLab储存库依然可公开存取部份档案。

资安业者Bank Security纪录了受害者名单,显示出它们横跨了金融、零售、电子商务、製造业及科技产业,总计有53家企业受害,而包括联想、Adobe、Amd、微软、Motorola、高通、联发科等科技业者,都在名单上。

Bank Security指出,当中至少有两个金融领域的受害者,一个是专门开发银行软体的西班牙业者Mercury TFS,另一为奈及利亚的支付架构建置商TeamApt。此外,有些文件内容还藏有企业凭证。

至于Kottmann则向BleepingComputer透露,只要有人合法提出移除请求,他就会遵循,也很愿意提供资讯以让业者强化它们的安全架构。

擅于寻找配置失误的Kottmann经常出现在媒体上,今年他曾向ZDNet爆料,宣称他在汽车大厂Mercedez-Benz母公司Daimler AG就地部署的GitLab伺服器上,发现一个配置问题,使他得以下载隶属该公司的Git储存库,内含许多机密资讯,包括一个应用在Mercedes-Benz厢型车上的机载逻辑元件(Onboard Logic Unit,OLU) 原始码;而去年初当Google公布暗藏Google I/O的举办日期与地点的谜题时,Kottmann是第一个解开谜题的,但他并非真的解题成功,而是直接从Google储存贮体中一个JSON档案中找到了答案。

免责声明:本文由用户上传,如有侵权请联系删除!