ΑρχικήsecurityΔιέρρευσε ο πηγαίος κώδικας 50 εταιρειών! Ανάμεσά τους Microsoft - AMD

Διέρρευσε ο πηγαίος κώδικας 50 εταιρειών! Ανάμεσά τους Microsoft – AMD

Πρόσφατα διέρρευσε ο πηγαίος κώδικας από τα αποθετήρια δεκάδων εταιρειών που δραστηριοποιούνται σε διάφορους τομείς, όπως η οικονομία, η τεχνολογία, η λιανική πώληση, τα τρόφιμα, το e-commerce κι η κατασκευή, λόγω εσφαλμένων configurations στην υποδομή τους. Ανάμεσα στις εταιρείες που επηρεάζονται από αυτές τις διαρροές, συγκαταλέγονται μεγάλα ονόματα όπως η Microsoft, η Disney, η Adobe, η Lenovo, η AMD, η Qualcomm, η Motorola, η Hisilicon (που ανήκει στην Huawei), η Mediatek, η GE Appliances, η Nintendo, η Roblox, η Johnson Controls, ενώ η λίστα μεγαλώνει όλο και περισσότερο. Το αποθετήριο όπου συγκεντρώθηκαν οι διαρροές δημιουργήθηκε από έναν προγραμματιστή και μηχανικό, τον Tillie Kottmann, ο οποίος ισχυρίστηκε ότι ο πηγαίος κώδικας ήταν προσβάσιμος λόγω εσφαλμένων configurations στην υποδομή των εταιρειών. Επιπλέον, ο Kottman διερευνεί servers που εκτελούν το SonarQube, μια πλατφόρμα ανοιχτού κώδικα για αυτοματοποιημένο έλεγχο κώδικα και στατική ανάλυση, για τον εντοπισμό τυχόν σφαλμάτων και ευπαθειών ασφαλείας.

πηγαίος κώδικας-διαρροές

Ένας μεγάλος αριθμός από αυτές τις διαρροές, οι οποίες προσδιορίζονται ως “excidentidential” ή “Confidential & Proprietary”, είναι διαθέσιμος σε ένα δημόσιο αποθετήριο στο GitLab. Σύμφωνα με την Bank Security, μία εταιρεία που εστιάζει στις τραπεζικές απειλές και τις απάτες, διέρρευσε ο κώδικας πάνω από 50 εταιρειών στο αποθετήριο. Στον server του Kottmann εμφανίζεται ο πηγαίος κώδικας από fintech εταιρείες (Fiserv, Buczy Payments, Mercury Trade Finance Solutions), τράπεζες (Banca Nazionale del Lavoro), εταιρείες διαχείρισης πρόσβασης (Pirean Access: One) και παιχνίδια.

πηγαίος κώδικας διαρροή

Ο Kottmann ανέφερε ότι υπάρχουν hardcoded credentials στα εύκολα προσβάσιμα αποθετήρια κώδικα, τα οποία προσπαθούν να αφαιρέσουν όσο το δυνατόν καλύτερα, ώστε να αποτρέψουν την πρόκληση βλάβης και να αποφύγουν να συμβάλλουν με οποιονδήποτε τρόπο σε μία μεγαλύτερη παραβίαση. Ο προγραμματιστής παραδέχτηκε επίσης ότι δεν επικοινωνούν πάντα με τις επηρεαζόμενες εταιρείες πριν κυκλοφορήσουν τον κώδικα, αλλά προσπαθούν να ελαχιστοποιήσουν τον αρνητικό αντίκτυπο που προκύπτει από τη δημοσίευση.

πηγαίος κώδικας διαρροή - εταιρείες

Ακόμη, λαμβάνοντας υπόψιν τον αριθμό των ειδοποιήσεων DMCA που ελήφθησαν (επτά) και την άμεση επικοινωνία νομικών ή άλλων εκπροσώπων, πολλές εταιρείες ενδέχεται να μην γνωρίζουν για τις διαρροές. Ο Kottmann ανέφερε ότι υπάρχουν χιλιάδες εταιρείες που εκθέτουν ιδιόκτητο κώδικα, επειδή αποτυγχάνουν να ασφαλίσουν σωστά τις εγκαταστάσεις του SonarQube.


Σε ένα κανάλι του Telegram, ο προγραμματιστής παρέχει περισσότερες λεπτομέρειες σχετικά με διαρροές που υπέστησαν εταιρείες, συμπεριλαμβανομένης της διαρροής της Nintendo, με την ονομασία Gigaleak, στην οποία περιέχονται ο πηγαίος κώδικας και τα γραφικά πολυάριθμων παιχνιδιών (Super Mario World, Super Mario 64, ένα ακυρωμένο remake του Zelda 2, The Legend of Zelda: Ocarina of Time).

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS