包含微軟、Adobe、聯想與迪士尼等50餘家軟體大廠的軟體原始碼遭駭客竊取 原因竟是DevOps平台設定不良?

包括微軟、Adobe等50多家軟體公司在駭客發現其DevOps基礎架構未做好防護後,將其原始碼公佈到網路上。

包括微軟、Adobe等50多家軟體公司在駭客發現其DevOps基礎架構未做好防護後,將其原始碼公佈到網路上。

瑞士籍的IT顧問Till Kottmann本周於推特貼出50多家洩露程式碼的公司名單。Kottmann指出,洩露出的程式碼來自設定不當或未設密碼的某些DevOps平台,包括SonarQube執行個體、GitLab、Jenkins等,許多看來是公司私有財產。Kottmann說一部份原始碼是好幾個人提供給他的,至於他們是怎麼拿到這些資訊, 他並不清楚。

他隨後將某些程式碼下載連結移除,但是有許多仍然可在GitLab上找得到。

名單上的公司包括微軟、Adobe、江森自控(Johnson Controls)、奇異、AMD、聯想、高通、聯發科、迪士尼、任天堂、Motorola,以及多家軟體、硬體、健康照護、汽車、旅遊和製造業公司。

微軟拒絕評論。Adobe表示他們已經聽說包含這些資料的DevOps平台,目前正在交涉移除資料,但是報導刊出時,Adobe的程式碼連結還在。該公司表示沒有跡象顯示有任何Adobe系統或客戶因為這次事件被駭。

Kottmann並未透露太多,以免任何人發生危險,也在公佈程式碼前刪除任何找到的帳號。他們表示沒有通知受影響的廠商,除非檔案內含重要資訊(像是醫療資訊),他們就會保留資訊,並通知業者。

Kottmann指出,公佈名單的用意是為了告訴一些公司的基礎架構也需要保護,也讓人一窺這些公司內部專案的內容。

例如聯發科或高通等公司的專案多半是為了允許人們可以任意改動行動裝置,而讓韌體客製化變得很容易,極少部份甚至摻雜政治因素。

來源:SecurityWeeks

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416