广告

华为海思、小米、微软等50家公司源代码泄露,人人可公开访问

2020-07-30 综合报道 阅读:
据外媒报道,继任天堂之后,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。

近日,知名游戏厂商任天堂被爆大批游戏的源代码遭到泄露,泄露的源代码包含了 Super NES、Game Boy 和 N64 平台的 Mario、Mario Kart、Zelda、F-Zero 等游戏的可编译代码和素材,业界甚至以“Gigaleak”一词形容其泄露的代码量之大。CUTednc

一波未平一波又起,据外媒报道,继任天堂之后,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司,横跨技术、金融、零售等诸多领域。值得注意的是,与任天堂遭到黑客攻击的泄露方式有所不同,这些企业的源代码泄露部分原因或源于技术设施配置操作不正确引起。CUTednc

CUTednc

是如何泄露的?

据外媒 Bleeping Computer 报道,这些泄露的代码由瑞士黑客Tillie Kottamann收集。CUTednc

其中一家涉事公司teamapt随即进行了调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。CUTednc

该公司声明,这些代码中不包含敏感数据,不会对客户构成安全风险。CUTednc

Tillie Kottamann也对技术网站BLeeping Computer表示,这个公开存储库中很多源代码暴露的原因,是其公司使用了配置错误的DevOps工具。CUTednc

另外,他们也对开源平台SonarQube的服务器进行了探索。CUTednc

SonarQube能够自动代码审核和静态分析服务,以帮助开发者发现代码错误和安全漏洞。CUTednc

Kottamann指出,有成千上万的公司因未能妥善确保SonarQube的安全使用,而招致暴露专有代码的风险。CUTednc

另外,在其Telegram频道中,Kottamann还提供了有关其他安全漏洞的详细信息,包括被称作Gigaleak的任天堂外泄代码——含有《超级马力欧世界》、《塞尔达传说:时之笛》等经典游戏信息。CUTednc

CUTednc

部分含有硬编码认证凭据,黑客:会先删掉

任天堂外泄的代码也引发了游戏界的关注。CUTednc

网络安全专家、知名电脑安全软件公司ESET发言人Jake Moore就指出:CUTednc

源代码的公开,可能会导致网络攻击者更容易窃取到公司内部的机密信息。CUTednc

而Bank Security也表示,这些源代码里有一部分会包含硬编码的认证凭据。CUTednc

这就相当于把你家大门的钥匙丢到了攻击者面前,攻击者拿到硬编码的认证凭据后攻击成本会更低。CUTednc

对此, Kottamann做出回应称,他们在发布这些代码时,尽量排查并删除了其中存储的硬编码认证凭据,以防止直接对这些公司造成伤害,引起更大的破坏。CUTednc

不过,他也承认,在公布这些代码之前,他们并不总事先与受影响的公司通气。CUTednc

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。CUTednc

责编:Demi XiaCUTednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • “隔空取物”,Air-Fi 利用WiFi隔空窃取数据成为可能! 自从网络诞生以来,安全问题一直是IT界最头疼的问题,从2000前后开始大流行的PC电脑病毒、木马,到现在移动端手机的各种植入(木马),各种窃取数据的手段层出不穷,曾经有爆出最原始的窃密方法:通过监听网络电缆电信号波动情况还原数据。然而在现在这个WiFi无处不在的时代,物理电缆似乎都埋在了地底下,那又会有什么新的手段呢?武打小说里面有隔空取物,现代科技里有研究人员利用Air-Fi隔空窃取数据的方法似乎成功了。
  • 安卓手机的漏洞都在于系统吗?No,高通芯片级Adreno GPU更 都说安卓手机不安全,漏洞太多,不是被监听就是被植入木马吸费转账之类的,而绝大部分人认为安卓手机的安全根源在于安卓系统。不过,真的如此吗?谷歌最近就发现了高通 Adreno GPU 的“高危”安全漏洞!这种硬件级别的漏洞恐怕更是硬伤!
  • 运用可扩展多核处理器满足嵌入式应用日益增长的性能需 下一代嵌入式应用需要对大型CPU集群和专用硬件加速器提供可扩展的支持,以实现所需的性能。大型多核处理器需要新的架构方法来提供更高的性能,并且不会给嵌入式设计者带来其他实现和时序收敛问题。
  • 边缘计算中的 AI 如何驱动5G和IoT 前段时间,我们介绍了《边缘计算在5G中的应用研究》,以及《边缘计算和边缘AI是什么?》。从本质山来说,实边缘计算是生于IoT物联网的,也会为了物联网而服务的,随着5G的发展,特别是5G大容量的特性,促进IoT即将迎来大爆发,因此边缘计算涉及的学科和技术有:IoT,AI,5G,本文是Synopsys 产品营销经理 Ron Lowman从理论与技术角度分析边缘计算中的 AI 如何驱动5G和IoT。
  • 为什么与软件安全方案相比,物联网更需要硬件安全机制? 在电子设计中,安全性至关重要,对于资源受限、高度连通的复杂的物联网(IoT)而言,更是如此。用软件方法实现物联网安全性无法达到合格的保障和防护等级,而硬件方法成为设计和实现物联网方案的重要一环。
  • 从ADAS到驱动器更换:实际雷达性能是否足够好? 雷达不仅必须能够进行物体检测,还必须能够进行物体分类。这就要求雷达图像的分辨率比目前先进系统的分辨率更高。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了