一位名为蒂莉 · 科特曼(Tillie Kottmann)的开发人员收集到了上述泄露,这些泄漏来源广泛。在 GitLab 上的公共存储库中,可以找到大量此类泄漏,这些泄漏的标签多为 “机密”“机密和专有” 等。
科特曼表示,他在一个很容易访问的代码存储库中,找到了硬编码的凭据,他正在努力将其删除,以免造成更大的破坏。科特曼还表示,其将遵守移除要求、并乐意提供可增强公司基础架构安全性的信息。
另据专注于银行业威胁和欺诈的研究机构 Bank Security 称,存储库中发布了来自 50 多家公司的代码。
图 | Bank Security 提供的信息(来源:BleepingComputer)
目前,许多当事公司可能并不了解泄漏情况。一些已经注意到其源码泄露的企业,并不会费心将其删除。比如,其中一家公司的几名开发人员,只是想知道科特曼是如何获得代码的,并没有对他提出删除代码的要求。
图 | 泄露的源码(来源:BleepingComputer)
就本次泄露来说,主要是因为许多公司使用错误的 DevOps 工具去配置代码。目前,已有相关人士正在探索运行 SonarQube 服务器,SonarQube 是一个开放源代码平台,可用于自动代码审核和静态分析,以发现错误和安全漏洞。
有人担心泄漏的代码,会被用于邪恶的目的。一位安全专家告诉外媒 Tom's Guide,失去对互联网源代码的控制,就像是将银行的蓝图交给抢劫犯一样。这份清单将被网络犯罪分子广泛地查看,以在极短的时间内寻找漏洞以及机密信息。因此,他建议,那些受影响的网站需要立马采取进一步的保护措施,以避免遭受到恶意攻击。
但是,似乎并非所有站点都已经意识到事情的严重性,如果进一步的恶果被用户先于公司发现,那这无异是伤口撒盐。
但也有专家持有不同意见。来自瑞士的网络安全公司 ImmuniWeb 创始人兼 CEO 伊利亚 · 科洛琴科(Ilia Kolochenko)表示:“从技术角度来看,这些泄漏并不是那么严重。他认为,除非拥有其他技术,否则大多数源代码都是毫无价值的。而且,没有持续的改进,源代码会迅速贬值。因此,不道德的竞争者除非寻求非常具体的软件,否则将不太可能获得太多价值。
