Оффлайн
- Регистрация
- 21.07.20
- Сообщения
- 40.408
- Реакции
- 1
- Репутация
- 0
Программистка выложила в открытый доступ исходники 50 компаний от Microsoft до Qualcomm
29.07.2020, Ср, 10:25, Мск , Текст: Роман Георгиев
Исходники различных программных разработок более чем 50 компаний оказались собранными в одном месте: любопытная программистка обнаружила их в плохо защищённых репозиториях. Пока ее деятельность не встретила сколько-нибудь последовательного сопротивления.
Не причинить вреда
Исходные коды программ, созданных крупнейшими ИТ- и медиакорпорациями со всего мира, оказались выложены в общий доступ: некая специалист по обратной разработке Тилли Коттманн (Tillie Kottmann) собрала в один репозиторий на GitLab всё, что смогла найти в незащищённых сетевых ресурсах, принадлежащих компаниям Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Mediatek, Hisilicon (подразделение Huawei), GE Appliances, Disney, Nintendo и др.
Коттманн заявила, что основным источником исходников для него стали плохо настроенные инструменты для интеграции и развёртывания программного обеспечения, из-за чего доступ к исходникам оказался открыт всем желающим.
Утечка затронула более 50 компаний. Помимо ИТ-корпораций, в репозиторий Коттманна попали исходники, принадлежащие финансово-технологическим компаниям (Fiserv, Buczy Payments, Mercury Trade Finance), банкам (Banca Nazionale del Lavoro), а также разработчикам средств авторизации и идентификации (Pirean Access: One) и игростроительным компаниям вроде Nintendo. Например, Коттманн и ее сподвижникам удалось найти исходные коды игр Super Mario World, Super Mario 64, The Legend of Zelda: Ocarina of Time и даже фрагменты кода несостоявшегося римейка Zelda 2.
Коттманн утверждает, что довольно часто ей попадаются реквизиты доступа, «вшитые» в исходники. Их она старается удалять, чтобы «предотвратить возникновение серьёзных последствий» от публикации исходного кода.
Исходники программных разработок более чем 50 компаний оказались собранными в одном месте: любопытная программистка обнаружила их в плохо защищённых репозиториях и забрала себе
При этом она в разговоре с редакцией издания Bleeping Computer признала, что не всегда связывается с владельцами незащищённых репозиториев. Что делает ее деятельность не вполне чистой с юридической точки зрения. Впрочем, по ее словам, она всегда удаляет исходники, если этого требуют правообладатели, и «с радостью» предоставляет им информацию о том, как усилить свою защиту.
Впрочем, пока лишь семь компаний (в том числе Daimler AG и Lenovo) прислали ей досудебные претензии или вообще попытались каким-либо образом выйти на связь.
Ряд разработчиков лишь попытались выяснить, как исходники попали к Коттманн, и не требовали их удаления - даже наоборот, пожелали «хорошо развлечься» при изучении кода.
Брать ли то, что плохо лежит?
Судя по публикации Коттманн на GitLab, часть проектов уже была опубликована в общем доступе самими разработчиками; некоторые проекты настолько давно не обновлялась, что могли считаться заброшенными.
Тем не менее, по мнению Коттманн, у огромного количества компаний отсутствует надлежащая защита репозиториев, доступных из Сети, а также, например, серверов с установленной на них платформой SonarQube, используемой для совместной работы над программным кодом и автоматизированного анализа его на предмет уязвимостей. По словам Коттманн, очень часто эти инсталляции плохо настроены, так что исходный код оказывается никак не защищён.
«Деятельность Коттманн находится в серой зоне, и с этической, и с технической, и, вероятно, с юридической точки зрения; если что-то плохо лежит, это ещё не повод это что-то утаскивать куда-то в другое место, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Даже если исходные коды, опубликованные Коттманн, лежали фактически в общем доступе, речь идёт об утечке данных, в том числе конфиденциальных; это может обернуться против него судебным процессом. С другой стороны, она относительно безобидным образом обратила внимание на совсем небезобидную проблему недостаточной защиты корпоративных репозиториев. И это может иметь куда более серьёзные последствия для компаний - правообладателей и разработчиков. Существует немало сценариев, при которых «утекшие» исходники могут быть использованы во вред их создателям».
Пока же Коттманн вместе с несколькими сподвижниками продолжает искать незащищённые репозитории и пополнять свою коллекцию. Остаётся неясным, какая часть утекших таким образом исходников считается сугубо проприетарной и, соответственно, не подлежащей публикации.
You must be registered for see links
You must be registered for see links
You must be registered for see links
29.07.2020, Ср, 10:25, Мск , Текст: Роман Георгиев
Исходники различных программных разработок более чем 50 компаний оказались собранными в одном месте: любопытная программистка обнаружила их в плохо защищённых репозиториях. Пока ее деятельность не встретила сколько-нибудь последовательного сопротивления.
Не причинить вреда
Исходные коды программ, созданных крупнейшими ИТ- и медиакорпорациями со всего мира, оказались выложены в общий доступ: некая специалист по обратной разработке Тилли Коттманн (Tillie Kottmann) собрала в один репозиторий на GitLab всё, что смогла найти в незащищённых сетевых ресурсах, принадлежащих компаниям Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Mediatek, Hisilicon (подразделение Huawei), GE Appliances, Disney, Nintendo и др.
Коттманн заявила, что основным источником исходников для него стали плохо настроенные инструменты для интеграции и развёртывания программного обеспечения, из-за чего доступ к исходникам оказался открыт всем желающим.
Утечка затронула более 50 компаний. Помимо ИТ-корпораций, в репозиторий Коттманна попали исходники, принадлежащие финансово-технологическим компаниям (Fiserv, Buczy Payments, Mercury Trade Finance), банкам (Banca Nazionale del Lavoro), а также разработчикам средств авторизации и идентификации (Pirean Access: One) и игростроительным компаниям вроде Nintendo. Например, Коттманн и ее сподвижникам удалось найти исходные коды игр Super Mario World, Super Mario 64, The Legend of Zelda: Ocarina of Time и даже фрагменты кода несостоявшегося римейка Zelda 2.
Коттманн утверждает, что довольно часто ей попадаются реквизиты доступа, «вшитые» в исходники. Их она старается удалять, чтобы «предотвратить возникновение серьёзных последствий» от публикации исходного кода.
Исходники программных разработок более чем 50 компаний оказались собранными в одном месте: любопытная программистка обнаружила их в плохо защищённых репозиториях и забрала себе
При этом она в разговоре с редакцией издания Bleeping Computer признала, что не всегда связывается с владельцами незащищённых репозиториев. Что делает ее деятельность не вполне чистой с юридической точки зрения. Впрочем, по ее словам, она всегда удаляет исходники, если этого требуют правообладатели, и «с радостью» предоставляет им информацию о том, как усилить свою защиту.
Впрочем, пока лишь семь компаний (в том числе Daimler AG и Lenovo) прислали ей досудебные претензии или вообще попытались каким-либо образом выйти на связь.
Ряд разработчиков лишь попытались выяснить, как исходники попали к Коттманн, и не требовали их удаления - даже наоборот, пожелали «хорошо развлечься» при изучении кода.
Брать ли то, что плохо лежит?
Судя по публикации Коттманн на GitLab, часть проектов уже была опубликована в общем доступе самими разработчиками; некоторые проекты настолько давно не обновлялась, что могли считаться заброшенными.
Тем не менее, по мнению Коттманн, у огромного количества компаний отсутствует надлежащая защита репозиториев, доступных из Сети, а также, например, серверов с установленной на них платформой SonarQube, используемой для совместной работы над программным кодом и автоматизированного анализа его на предмет уязвимостей. По словам Коттманн, очень часто эти инсталляции плохо настроены, так что исходный код оказывается никак не защищён.
«Деятельность Коттманн находится в серой зоне, и с этической, и с технической, и, вероятно, с юридической точки зрения; если что-то плохо лежит, это ещё не повод это что-то утаскивать куда-то в другое место, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Даже если исходные коды, опубликованные Коттманн, лежали фактически в общем доступе, речь идёт об утечке данных, в том числе конфиденциальных; это может обернуться против него судебным процессом. С другой стороны, она относительно безобидным образом обратила внимание на совсем небезобидную проблему недостаточной защиты корпоративных репозиториев. И это может иметь куда более серьёзные последствия для компаний - правообладателей и разработчиков. Существует немало сценариев, при которых «утекшие» исходники могут быть использованы во вред их создателям».
Пока же Коттманн вместе с несколькими сподвижниками продолжает искать незащищённые репозитории и пополнять свою коллекцию. Остаётся неясным, какая часть утекших таким образом исходников считается сугубо проприетарной и, соответственно, не подлежащей публикации.
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links