吳明宜包含微軟、Adobe、聯想與迪士尼等50餘家軟體大廠的軟體原始碼遭駭客竊取 原因竟是DevOps平台設定不良?
包括微軟、Adobe等50多家軟體公司在駭客發現其DevOps基礎架構未做好防護後,將其原始碼公佈到網路上。
瑞士籍的IT顧問Till Kottmann本周於推特貼出50多家洩露程式碼的公司名單。Kottmann指出,洩露出的程式碼來自設定不當或未設密碼的某些DevOps平台,包括SonarQube執行個體、GitLab、Jenkins等,許多看來是公司私有財產。Kottmann說一部份原始碼是好幾個人提供給他的,至於他們是怎麼拿到這些資訊, 他並不清楚。
We discovered that some of our product source code was leaked to a public repository. We want to assure our customers that no sensitive data was exposed and that we have handled the situation.
Find our full statement here https://t.co/GQbbVzMLe3 pic.twitter.com/4hZFelOlap
— TeamApt (@weareTeamApt) July 28, 2020
他隨後將某些程式碼下載連結移除,但是有許多仍然可在GitLab上找得到。
名單上的公司包括微軟、Adobe、江森自控(Johnson Controls)、奇異、AMD、聯想、高通、聯發科、迪士尼、任天堂、Motorola,以及多家軟體、硬體、健康照護、汽車、旅遊和製造業公司。
微軟拒絕評論。Adobe表示他們已經聽說包含這些資料的DevOps平台,目前正在交涉移除資料,但是報導刊出時,Adobe的程式碼連結還在。該公司表示沒有跡象顯示有任何Adobe系統或客戶因為這次事件被駭。
Kottmann並未透露太多,以免任何人發生危險,也在公佈程式碼前刪除任何找到的帳號。他們表示沒有通知受影響的廠商,除非檔案內含重要資訊(像是醫療資訊),他們就會保留資訊,並通知業者。
Kottmann指出,公佈名單的用意是為了告訴一些公司的基礎架構也需要保護,也讓人一窺這些公司內部專案的內容。
例如聯發科或高通等公司的專案多半是為了允許人們可以任意改動行動裝置,而讓韌體客製化變得很容易,極少部份甚至摻雜政治因素。