广告

华为海思、小米、微软等50家公司源代码泄露,人人可公开访问

2020-07-30 综合报道 阅读:
据外媒报道,继任天堂之后,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司。

近日,知名游戏厂商任天堂被爆大批游戏的源代码遭到泄露,泄露的源代码包含了 Super NES、Game Boy 和 N64 平台的 Mario、Mario Kart、Zelda、F-Zero 等游戏的可编译代码和素材,业界甚至以“Gigaleak”一词形容其泄露的代码量之大。QYNednc

一波未平一波又起,据外媒报道,继任天堂之后,全球有超过 50 家企业的源代码遭到泄露,其中覆盖科技、金融、零售、食品、电子商务、制造业等领域,涉及微软、Adobe、联想、AMD、Qualcomm、摩托罗拉、华为海思、联发科技、GE等诸多知名公司,横跨技术、金融、零售等诸多领域。值得注意的是,与任天堂遭到黑客攻击的泄露方式有所不同,这些企业的源代码泄露部分原因或源于技术设施配置操作不正确引起。QYNednc

QYNednc

是如何泄露的?

据外媒 Bleeping Computer 报道,这些泄露的代码由瑞士黑客Tillie Kottamann收集。QYNednc

其中一家涉事公司teamapt随即进行了调查,发现他们泄露的代码主要是驻留在静态代码分析工具上的代码快照。QYNednc

该公司声明,这些代码中不包含敏感数据,不会对客户构成安全风险。QYNednc

Tillie Kottamann也对技术网站BLeeping Computer表示,这个公开存储库中很多源代码暴露的原因,是其公司使用了配置错误的DevOps工具。QYNednc

另外,他们也对开源平台SonarQube的服务器进行了探索。QYNednc

SonarQube能够自动代码审核和静态分析服务,以帮助开发者发现代码错误和安全漏洞。QYNednc

Kottamann指出,有成千上万的公司因未能妥善确保SonarQube的安全使用,而招致暴露专有代码的风险。QYNednc

另外,在其Telegram频道中,Kottamann还提供了有关其他安全漏洞的详细信息,包括被称作Gigaleak的任天堂外泄代码——含有《超级马力欧世界》、《塞尔达传说:时之笛》等经典游戏信息。QYNednc

QYNednc

部分含有硬编码认证凭据,黑客:会先删掉

任天堂外泄的代码也引发了游戏界的关注。QYNednc

网络安全专家、知名电脑安全软件公司ESET发言人Jake Moore就指出:QYNednc

源代码的公开,可能会导致网络攻击者更容易窃取到公司内部的机密信息。QYNednc

而Bank Security也表示,这些源代码里有一部分会包含硬编码的认证凭据。QYNednc

这就相当于把你家大门的钥匙丢到了攻击者面前,攻击者拿到硬编码的认证凭据后攻击成本会更低。QYNednc

对此, Kottamann做出回应称,他们在发布这些代码时,尽量排查并删除了其中存储的硬编码认证凭据,以防止直接对这些公司造成伤害,引起更大的破坏。QYNednc

不过,他也承认,在公布这些代码之前,他们并不总事先与受影响的公司通气。QYNednc

目前,Kottmann 已应部分企业的要求删除了代码。例如 Daimler AG,梅赛德斯-奔驰的母公司;联想的文件夹也已经空空如也。针对有移除代码要求的公司,Kottmann表示愿意遵守,并乐意提供信息,“帮助公司增强基础架构的安全性”。QYNednc

责编:Demi XiaQYNednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 汽车ADC如何帮助设计人员在ADAS中实现功能安全 随着车辆的自动化水平不断提高,一级供应商和原始设备制造商越来越需要提供诊断监控的ADC,用于实现其功能安全目标。
  • 国民技术车规级芯片助力汽车智能安全升级 7月15日~16日,以“应用引领,创新驱动”为主题的中国集成电路设计创新大会暨IC应用博览会(ICDIA 2021)在苏州盛大举行。由中国集成电路设计创新联盟、中国汽车芯片产业创新战略联盟共同举办的“第八届汽车电子创新论坛暨2021汽车芯片供需对接会”同期召开,国民技术股份有限公司(简称:国民技术)应邀参会,与车厂、零部件企业一起,就汽车芯片“卡脖子”问题及国产芯片汽车应用合作进行了深入交流探讨。在“供需对接”闭门会议上,来自国民技术的企业代表围绕“国产芯片助力汽车智能安全升级”话题做了专题发言。
  • 为何道路法规约束不了自动驾驶汽车制造商? 自动驾驶汽车已经遍布美国各个城市的公共街区和道路。实际上,并没有足够的理由让我们可以相信任何一家汽车厂商制造的自动驾驶汽车是安全可靠的,因为负责汽车安全的机构正在给这些汽车制造商发放免检通行证。
  • 如何防止汽车被黑客攻击? 虽然汽车行业现在已开始部署有助于提升网络安全性的硬件和软件,但汽车中的网络安全问题比智能手机和个人电脑要复杂得多,要让每辆汽车中的ECU都免受攻击,还需假以时日。
  • 一文看懂黑客如何轻松破解MCU,附预防措施 MCU就是大家所熟悉的微控制单元,或者单片微型计算机,或者单片机,攻破MCU有很多种方法。随着技术的发展,以及人们对嵌入式领域的信息安全和程序安全越来越重视,MCU的安全等级正在逐步提升,一些公司甚至推出了安全主控。所谓知己知彼,百战百胜,唯有了解了破解技术,才能更有效的做加密防护。这篇文章是俄国人Sergei P.Skorobogatov就读英吉利剑桥大学之博士论文,讲解了各种MCU的攻防技术,堪称一部小百科全书。
  • 从硬件/软件2个角度8个方面提高智能物联设备的安全系 然而越是智能的、互联的世界,安全维护的难度也越大,物联网设备的安全性越来越得到设计人员和使用人员的重视。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了