一名来自瑞士的开发人员暨反向工程师Tillie Kottmann近日在GitLab上,公开了超过50家知名企业的源码,从微软、Adobe、Amd到台湾的联发科(Mediatek),而Kottmann则说,这是因为这些公司的DevOps应用程序配置不良才让他有机可乘,访问了它们的私有源码。
Kottmann把所有的源码都放置在GitLab的公开存储库中,而且通过Twitter公开了连接,可能引起了太大的骚动,Kottmann随后自Twitter上移除了文件连接,不过其GitLab存储库依然可公开访问部分文件。
安全企业Bank Security记录了受害者名单,显示出它们横跨了金融、零售、电子商务、制造业及科技产业,总计有53家企业受害,而包括联想、Adobe、Amd、微软、Motorola、高通、联发科等科技企业,都在名单上。
Bank Security指出,其中至少有两个金融领域的受害者,一个是专门开发银行软件的西班牙企业Mercury TFS,另一为尼日尔利亚的支付架构构建商TeamApt。此外,有些文件内容还藏有企业凭证。
至于Kottmann则向BleepingComputer透露,只要有人合法提出移除请求,他就会遵循,也很愿意提供信息以让企业强化它们的安全架构。
擅于寻找配置失误的Kottmann经常出现在媒体上,今年他曾向ZDNet爆料,宣称他在汽车大厂Mercedez-Benz母公司Daimler AG本地部署的GitLab服务器上,发现一个配置问题,使他得以下载隶属该公司的Git存储库,内置许多机密信息,包括一个应用在Mercedes-Benz厢型车上的机载逻辑组件(Onboard Logic Unit,OLU) 源码;而去年初当Google公布暗藏Google I/O的举办日期与地点的谜题时,Kottmann是第一个解开谜题的,但他并非真的解题成功,而是直接从Google存储贮体中一个JSON文件中找到了答案。