2020-07-29
【DevOps 有漏洞!!】源代碼爆番出嚟任睇
AMD、Microsoft、Nintendo 機密資料外洩
文: Cherry Kwok / 新聞中心
文章索引: IT要聞 其它

由於能夠提升企業的開發、部署及營運效能,因此近年不少大企業都開始推行 DevOps 及轉型採用 DevOps 工具或是平台,不過外媒 BleepingComputer 在日前的一篇報導中指出,由於 DevOps 基礎架構存在漏洞多個源代碼被洩露,一名瑞士開發人員 Tillie Kottmann 竟然可以從 Adobe、AMD、Lenovo、MediaTek、Motorola、Qualcomm 等知名科技公司中取得標記為「機密」及「機密與專有」內部軟件源代碼,更被放上 GitLab 給人「看光光」。

 

據了解,DevOps 程式由於出現了安全性的設定錯誤,導致大量企業的 Source code 源代碼遭洩露並在網上儲存庫中公開,牽連的企業包括了科技、金融、零售、製造業等超過 50 間知名公司,受影響的公司如下:

 

🚨 Microsoft

🚨 Lenovo

🚨 Adobe

🚨 Motorola

🚨 Qualcomm

🚨 AMD

🚨 GE Appliances

🚨 Mediatek

🚨 Roblox

🚨 Disney

🚨 Nintendo

🚨 Huawei owned Hisilicon

🚨 Johnsons Controls

 

DevOps Security

DevOps Security

 

開發人員 Tillie Kottmann 透露,遭洩露的源代碼中一些文件夾是空的,另外有部份文件夾則包含憑證例如來自金融科技公司 ( Fiserv、Mercury Trade Finance 解決方案、Buczy Payments ) 的代碼、Access Management、開發人員 Pirean Access: one 的身份以及意大利 Banca Nazionale del Lavoro 銀行的資料等,Tillie Kottmann 更將代碼發佈在 GitLab 儲存庫中。

 

DevOps SecurityDevOps SecurityDevOps Security

 

目前,Tillie Kottmann 已應部份企業如 Mercedez-Benz 母公司 Daimler AG、Lenovo 等的要求刪除了代碼,同時 Tillie Kottmann 表示其他公司亦可跟他聯絡要求刪除了代碼,他是非常樂意配合的,不過從收到的 DMCA 通知數量 ( 估計至多 7 份 ) 和法律代表等的聯繫來看,許多公司仍對代碼洩露事件不知情。

 

對於洩露源碼的行為,安全專家 Jake Moore 對科技網站 Tom's Guide 表示:「失去對源代碼的控制就像將銀行藍圖交給搶劫犯一樣……受影響的網站應立即採取保護措施,將其轉換為安全性更高的 DevSecOps。」

 

DevOps Security

發表評論