Hơn 50 doanh nghiệp lớn trên thế giới bị lộ mã nguồn, có cả Microsoft, Adobe, Qualcomm...

Mã nguồn của hơn 50 công ty hoạt động trong nhiều lĩnh vực khác nhau (công nghệ, tài chính, bán lẻ, thực phẩm, thương mại điện tử và sản xuất) vừa được chia sẻ công khai trên internet. Những mã nguồn này bị rò rỉ do các doanh nghiệp cấu hình sai cơ sở hạ tầng của họ.

Danh sách các hãng bị lộ mã nguồn bao gồm cả những tên tuổi lớn như: Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (thuộc sở hữu của Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls...

Toàn bộ số mã nguồn đều được thu thập bởi Tillie Kottmann, một nhà phát triển kiêm kỹ sư đảo ngược phần mềm. Kottmann dựa vào nhiều nguồn khác nhau, bao gồm cả lỗ hổng trên hệ thống do các hãng cấu hình sai cơ sở hạ tầng dẫn tới việc người ngoài có thể truy cập vào mã nguồn.

Kottmann chia sẻ mã nguồn mà mình thu thập được trên GitLab
Kottmann chia sẻ mã nguồn mà mình thu thập được trên GitLab

Kottmann hiện đang công khai toàn bộ số mã nguồn mà anh tìm được trên GitLab. Trong số này, có khá nhiều mã nguồn được đánh dấu là bí mật, bảo mật và độc quyền.

Theo Bank Security, một nhà nghiên cứu chuyên tập trung vào các mối đe dọa và gian lận trong ngành ngân hàng, trong kho GitLab của Kottmann trên GitLab có mã nguồn của hơn 50 công ty. Tuy nhiên, chỉ một vài thư mục trong kho có chứa dữ liệu quan trọng.

Trong khi đó, Kottmann chia sẻ rằng anh đã cố gắng loại bỏ hết mức có thể các thông tin nhạy cảm trước khi chia sẻ công khai mã nguồn. Điều này giúp ngăn chặn kẻ xấu lợi dụng chúng cho những chiến dịch tấn công phi pháp.

Kottmann thừa nhận chưa liên lạc với các công ty bị ảnh hưởng trước khi công khai mã nguồn. Tuy nhiên, anh đã nỗ lực nhằm giảm thiểu tác động tiêu cực mà mình có thể gây ra.

Kottmann cũng cho biết anh sẽ tuân thủ các yêu cầu gỡ bỏ dữ liệu và sẵn sàng cung cấp thông tin để giúp các hãng tăng cường bảo mật cơ sở hạ tầng. Sau một vài ngày, mã nguồn của thương hiệu Mercedes-Benz thuộc Daimler AG đã được gỡ xuống. Thư mục của Lenovo cũng đã bị xóa hết.

Bank Security xác nhận có mã nguồn của hơn 50 công ty trong kho GitLab của Kottmann
Bank Security xác nhận có mã nguồn của hơn 50 công ty trong kho GitLab của Kottmann

Trong khi đó, một số công ty không hề biết về vụ rò rỉ này và số còn lại không quan tâm tới việc mã nguồn của họ bị công khai. Ít nhất một trường hợp đã liên hệ với Kottmann chỉ để hỏi tại sao anh tìm ra được mã nguồn của họ, không yêu cầu gỡ xuống và còn chúc Kottmann có những khoảng thời gian vui vẻ với số mã nguồn đó.

Những lỗ hổng cần được vá

Trong số các mã nguồn mà Kottmann tìm ra, có một số ít được chính nhà phát triển công khai hoặc đã lâu lắm rồi không còn được cập nhật. Tuy nhiên, Kottmann cho biết nhiều công ty đang cấu hình sai cơ sở hạ tầng dẫn tới việc rò rỉ mã nguồn quan trọng.

Hàng ngàn công ty hiện đang sử dụng SonarQube để tự động kiểm tra mã nguồn và phân tích tĩnh để phát hiện các lỗ hổng bảo mật, theo Kottmann. Tuy nhiên, trong số này có rất nhiều hãng không cấu hình bảo mật SonarQube đúng cách dẫn tới việc bị lộ các báo cáo bảo mật.

Từ các báo cáo này, hacker dễ dàng nắm được các lỗ hổng và xâm nhập vào hệ thống của doanh nghiệp. Ví dụ gần đây hãng Nintendo đã bị lộ một loạt mã nguồn, phơi bày rất nhiều dự án quan trọng cũng như code của các game cổ điển chưa từng được ra mắt.

Hy vọng rằng khám phá của Kottmann sẽ thúc đẩy các hãng có những hành động hợp lý để đảm bảo an toàn cho mã nguồn của mình.

Thứ Năm, 30/07/2020 16:30
51 👨 632
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng