27 Luglio 2020 - Tempo di lettura: 12 minuti
Il codice sorgente da archivi esposti di dozzine di aziende in vari settori di attività (tecnologia, finanza, vendita al dettaglio, cibo, commercio elettronico, produzione) è disponibile pubblicamente a causa di errate configurazioni nella loro infrastruttura.
Un repository pubblico di codici trapelati include nomi importanti come Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (di proprietà di Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; e l'elenco continua a crescere.
Le fughe di informazioni sono state raccolte da Tillie Kottmann, sviluppatore e ingegnere, da varie fonti e dalla loro stessa ricerca di strumenti devops non configurati che offrono accesso al codice sorgente.
Un gran numero di queste perdite, che si chiamano "exconfidential" o l'etichetta più ironica "Confidential & Proprietary", sono disponibili in un repository pubblico su GitLab.
Secondo Bank Security, un gruppo incentrato su minacce e frodi bancarie, il codice di oltre 50 società è pubblicato nel repository. Tuttavia, non tutte le cartelle sono popolate, ma il ricercatore afferma che in alcuni casi sono presenti credenziali.
Il server di Kottmann mostra il codice di società fintech (Fiserv, Buczy Payments, Mercury Trade Finance Solutions), banche (Banca Nazionale del Lavoro), sviluppatori di identità e gestione degli accessi (Pirean Access: One) e giochi.
Kottmann ha detto a BleepingComputer di trovare credenziali codificate nei repository di codice facilmente accessibili, che cercano di rimuovere nel miglior modo possibile, per prevenire danni diretti ed evitare di contribuire in qualche modo a una violazione più ampia.
"Cerco di fare del mio meglio per evitare qualsiasi cosa importante derivante direttamente dalle mie pubblicazioni", ha detto Kottmann a BleepingComputer
Lo sviluppatore ha ammesso di non contattare sempre le aziende interessate prima di rilasciare il codice, ma si sforza di ridurre al minimo l'impatto negativo derivante dalla pubblicazione.
Altre persone sono coinvolte in questo progetto, contribuendo direttamente o indirettamente alle perdite o aiutando Kottmann a comprendere meglio la natura delle loro scoperte quando ciò non è chiaro per loro.
Kottmann afferma inoltre di soddisfare le richieste di rimozione e di fornire volentieri informazioni che rafforzerebbero la sicurezza dell'infrastruttura di un'azienda. Una perdita dalla società Daimler AG dietro il marchio Mercedes-Benz non è più presente nel repository. Un'altra cartella vuota ha Lenovo nel suo nome.
Tuttavia, a giudicare dal numero di avvisi DMCA ricevuti (stimato fino a sette) e dal contatto diretto da parte di rappresentanti legali o di altro tipo, molte società potrebbero non essere a conoscenza delle perdite.
Alcune aziende che notano che il loro codice diventa pubblico non si preoccupano di rimuoverlo. In almeno un caso, diversi sviluppatori di una società volevano solo sapere come Kottmann ha ottenuto il codice e non hanno chiesto di smontarlo, augurando "molto divertimento".
La revisione di alcuni dei codici trapelati sul server GitLab di Kottmann ha rivelato che alcuni dei progetti sono stati resi pubblici dal loro sviluppatore originale o sono stati aggiornati l'ultima volta molto tempo fa.
Tuttavia, lo sviluppatore ha detto che ci sono più aziende con strumenti devops non configurati che espongono il codice sorgente. Inoltre, stanno esplorando i server che eseguono SonarQube, una piattaforma open source per il controllo automatico del codice e l'analisi statica per scoprire bug e vulnerabilità della sicurezza.
Kottmann ritiene che ci siano migliaia di aziende che espongono il codice proprietario non riuscendo a proteggere adeguatamente le installazioni SonarQube.
In un canale di Telegram, lo sviluppatore offre dettagli su perdite da altri, tra cui il Nintendo leak soprannominato Gigaleak contenente codice sorgente, repository di sviluppo (molti prototipi grafici) di più giochi classici (Super Mario World, un remake di Zelda 2 cancellato, Super Mario 64 , The Legend of Zelda: Ocarina of Time).
Non è chiaro quanto del codice sul server di Kottmann sia proprietario e debba essere tenuto privato. BleepingComputer ha contattato un certo numero di aziende elencate nella raccolta per sapere fino a che punto siano interessate dalle perdite.