Il codice sorgente di decine di aziende trapelato online

Il codice sorgente di decine di aziende trapelato online

Il codice sorgente da archivi esposti di dozzine di aziende in vari settori di attività (tecnologia, finanza, vendita al dettaglio, cibo, commercio elettronico, produzione) è disponibile pubblicamente a causa di errate configurazioni nella loro infrastruttura.

Un repository pubblico di codici trapelati include nomi importanti come Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (di proprietà di Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; e l'elenco continua a crescere.

Operazione "Confidential & Proprietary"

Le fughe di informazioni sono state raccolte da Tillie Kottmann, sviluppatore e ingegnere, da varie fonti e dalla loro stessa ricerca di strumenti devops non configurati che offrono accesso al codice sorgente.

Un gran numero di queste perdite, che si chiamano "exconfidential" o l'etichetta più ironica "Confidential & Proprietary", sono disponibili in un repository pubblico su GitLab.

Secondo Bank Security, un gruppo incentrato su minacce e frodi bancarie, il codice di oltre 50 società è pubblicato nel repository. Tuttavia, non tutte le cartelle sono popolate, ma il ricercatore afferma che in alcuni casi sono presenti credenziali.

Il server di Kottmann mostra il codice di società fintech (Fiserv, Buczy Payments, Mercury Trade Finance Solutions), banche (Banca Nazionale del Lavoro), sviluppatori di identità e gestione degli accessi (Pirean Access: One) e giochi.

Kottmann ha detto a BleepingComputer di trovare credenziali codificate nei repository di codice facilmente accessibili, che cercano di rimuovere nel miglior modo possibile, per prevenire danni diretti ed evitare di contribuire in qualche modo a una violazione più ampia.

"Cerco di fare del mio meglio per evitare qualsiasi cosa importante derivante direttamente dalle mie pubblicazioni", ha detto Kottmann a BleepingComputer

Lo sviluppatore ha ammesso di non contattare sempre le aziende interessate prima di rilasciare il codice, ma si sforza di ridurre al minimo l'impatto negativo derivante dalla pubblicazione.

Altre persone sono coinvolte in questo progetto, contribuendo direttamente o indirettamente alle perdite o aiutando Kottmann a comprendere meglio la natura delle loro scoperte quando ciò non è chiaro per loro.

Conformità alla rimozione

Kottmann afferma inoltre di soddisfare le richieste di rimozione e di fornire volentieri informazioni che rafforzerebbero la sicurezza dell'infrastruttura di un'azienda. Una perdita dalla società Daimler AG dietro il marchio Mercedes-Benz non è più presente nel repository. Un'altra cartella vuota ha Lenovo nel suo nome.

Tuttavia, a giudicare dal numero di avvisi DMCA ricevuti (stimato fino a sette) e dal contatto diretto da parte di rappresentanti legali o di altro tipo, molte società potrebbero non essere a conoscenza delle perdite.

Alcune aziende che notano che il loro codice diventa pubblico non si preoccupano di rimuoverlo. In almeno un caso, diversi sviluppatori di una società volevano solo sapere come Kottmann ha ottenuto il codice e non hanno chiesto di smontarlo, augurando "molto divertimento".

La caccia continua

La revisione di alcuni dei codici trapelati sul server GitLab di Kottmann ha rivelato che alcuni dei progetti sono stati resi pubblici dal loro sviluppatore originale o sono stati aggiornati l'ultima volta molto tempo fa.

Tuttavia, lo sviluppatore ha detto che ci sono più aziende con strumenti devops non configurati che espongono il codice sorgente. Inoltre, stanno esplorando i server che eseguono SonarQube, una piattaforma open source per il controllo automatico del codice e l'analisi statica per scoprire bug e vulnerabilità della sicurezza.

Kottmann ritiene che ci siano migliaia di aziende che espongono il codice proprietario non riuscendo a proteggere adeguatamente le installazioni SonarQube.

In un canale di Telegram, lo sviluppatore offre dettagli su perdite da altri, tra cui il Nintendo leak soprannominato Gigaleak contenente codice sorgente, repository di sviluppo (molti prototipi grafici) di più giochi classici (Super Mario World, un remake di Zelda 2 cancellato, Super Mario 64 , The Legend of Zelda: Ocarina of Time).

Non è chiaro quanto del codice sul server di Kottmann sia proprietario e debba essere tenuto privato. BleepingComputer ha contattato un certo numero di aziende elencate nella raccolta per sapere fino a che punto siano interessate dalle perdite.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.