吳明宜包括微軟、 Adobe 等 50 多家軟體公司在駭客發現其 DevOps 基礎架構未做好防護後,將其原始碼公佈到網路上。
瑞士籍的 IT 顧問 Till Kottmann 本周於推特貼出 50 多家洩露程式碼的公司名單。 Kottmann 指出,洩露出的程式碼來自設定不當或未設密碼的某些 DevOps 平台,包括 SonarQube 執行個體、 GitLab 、 Jenkins 等,許多看來是公司私有財產。 Kottmann 說一部份原始碼是好幾個人提供給他的,至於他們是怎麼拿到這些資訊, 他並不清楚。
We discovered that some of our product source code was leaked to a public repository. We want to assure our customers that no sensitive data was exposed and that we have handled the situation.
Find our full statement here https://t.co/GQbbVzMLe3 pic.twitter.com/4hZFelOlap
— TeamApt (@weareTeamApt) July 28, 2020
他隨後將某些程式碼下載連結移除,但是有許多仍然可在 GitLab 上找得到。
名單上的公司包括微軟、 Adobe 、江森自控 (Johnson Controls) 、奇異、 AMD 、聯想、高通、聯發科、迪士尼、任天堂、 Motorola,以及多家軟體、硬體、健康照護、汽車、旅遊和製造業公司。
微軟拒絕評論。 Adobe 表示他們已經聽說包含這些資料的 DevOps 平台,目前正在交涉移除資料,但是報導刊出時,Adobe 的程式碼連結還在。該公司表示沒有跡象顯示有任何 Adobe 系統或客戶因為這次事件被駭。
Kottmann 並未透露太多,以免任何人發生危險,也在公佈程式碼前刪除任何找到的帳號。他們表示沒有通知受影響的廠商,除非檔案內含重要資訊(像是醫療資訊),他們就會保留資訊,並通知業者。
Kottmann 指出,公佈名單的用意是為了告訴一些公司的基礎架構也需要保護,也讓人一窺這些公司內部專案的內容。
例如聯發科或高通等公司的專案多半是為了允許人們可以任意改動行動裝置,而讓韌體客製化變得很容易,極少部份甚至摻雜政治因素。