一名来自瑞士的开发工程师Tillie Kottmann近日在GitLab上,公开了50来家知名企业的源码,包含微软、Adobe、Amd、联发科等,据Kottmann说,这是因为这些公司的DevOps应用配置不当才让他有机可趁,存取了它们的私有源码。
Kottmann把所有的源码放在GitLab的公开库中,而且通过Twitter公开了链接,可能引起了太大的骚动,Kottmann随后删除了Twitter文件链接,不过其GitLab库依然可公开存取部份文件。
安全工程师Bank Security纪录了受害者名单,显示包含了金融、零售、电子商务、制造业及科技产业,总计有53家企业,而包括联想、Adobe、Amd、微软、Motorola、高通、联发科等科技业者。
Bank Security指出,当中至少有两个金融领域公司,一个专门开发银行软件的西班牙公司Mercury TFS,另一奈及利亚的支付架构建设商TeamApt。此外,有些文件内容还藏有企业凭证。
Kottmann向BleepingComputer透露,只要有人合法提出移除请求,他会遵循,也很愿意提供信息让这些公司强化它们的安全架构。
擅于寻找配置失误的Kottmann经常出现在媒体上,今年他曾向ZDNet爆料,宣称他在汽车大厂Mercedez-Benz母公司Daimler AG部署的GitLab服务器上,发现一个配置问题,使他得以下载隶属该公司的Git库,内含许多机密信息,其中包括一个应用在Mercedes-Benz厢型车上的机载逻辑元件(Onboard Logic Unit,OLU) 源码;而去年初当Google公布暗藏Google I/O的举办日期与地点的谜题时,Kottmann是第一个解开谜题的,但他并非真的解题成功,而是直接从Google储存体中一个JSON文件中找到了答案。
参考:https://pastebin.com/aAnaLgS8
https://www.ithome.com.tw/news/139076
END
Kubernetes CKA实战培训班推荐:
本文分享自微信公众号 - K8S中文社区(k8schina)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。