情境示意圖,photo by Jan Antonin Kolar on unsplash

一名來自瑞士的開發人員暨反向工程師Tillie Kottmann近日在GitLab上,公開了逾50家知名企業的原始碼,從微軟、Adobe、Amd到臺灣的聯發科(Mediatek),而Kottmann則說,這是因為這些公司的DevOps應用程式配置不良才讓他有機可趁,存取了它們的私有原始碼。

Kottmann把所有的原始碼都置放在GitLab的公開儲存庫中,而且透過Twitter公開了連結,可能引起了太大的騷動,Kottmann隨後自Twitter上移除了檔案連結,不過其GitLab儲存庫依然可公開存取部份檔案。

資安業者Bank Security紀錄了受害者名單,顯示出它們橫跨了金融、零售、電子商務、製造業及科技產業,總計有53家企業受害,而包括聯想、Adobe、Amd、微軟、Motorola、高通、聯發科等科技業者,都在名單上。

Bank Security指出,當中至少有兩個金融領域的受害者,一個是專門開發銀行軟體的西班牙業者Mercury TFS,另一為奈及利亞的支付架構建置商TeamApt。此外,有些文件內容還藏有企業憑證。

至於Kottmann則向BleepingComputer透露,只要有人合法提出移除請求,他就會遵循,也很願意提供資訊以讓業者強化它們的安全架構。

擅於尋找配置失誤的Kottmann經常出現在媒體上,今年他曾向ZDNet爆料,宣稱他在汽車大廠Mercedez-Benz母公司Daimler AG就地部署的GitLab伺服器上,發現一個配置問題,使他得以下載隸屬該公司的Git儲存庫,內含許多機密資訊,包括一個應用在Mercedes-Benz廂型車上的機載邏輯元件(Onboard Logic Unit,OLU) 原始碼;而去年初當Google公布暗藏Google I/O的舉辦日期與地點的謎題時,Kottmann是第一個解開謎題的,但他並非真的解題成功,而是直接從Google儲存貯體中一個JSON檔案中找到了答案。


Advertisement

更多 iThome相關內容