事件一
梅德赛斯-奔驰中安装的“智能汽车”组件源代码被泄露在网上。
研究人员发现奔驰品牌所属主体戴姆勒股份公司 (Daimler AG) 的一个 Git web 门户。他指出,自己能够在戴姆勒的代码托管门户上注册一个账户,之后下载包含车载逻辑单元 (OLUs) 源代码的580多个 Git 仓库。
研究人员查看了其中一些遭泄露的 Git 仓库,结果发现所查看的文件中均未包含任何开源许可,表明这是并不打算公开的专有代码信息。被泄露项目不仅包括奔驰 OLU 组件的源代码,而且还包括 Raspberry Pi 镜像、服务器镜像、用于管理远程 OLUs 的内部戴姆勒组件、内部文档、代码样本等等的源代码。
虽然刚开始这些源代码泄露看似无害,但威胁情报公司 Under the Breach 查看该数据后认为,他们发现了戴姆勒内部系统的密码和 API 令牌。这些密码和访问令牌如落入不法之徒手中可被用于攻击戴姆勒云和内部网络。戴姆勒公司收到通知后撤掉研究人员用于下载该数据的 GitLab 服务器。
事件二
此前,有位匿名用户在美国论坛4chan中,陆陆续续上传了大量任天堂内部档案。此外,Youtube博主Sebastian也整理了类似N64游戏的Demo。
Resetera网站用户Atheerios密切关注了此次事件,他认为,所有的数据、文件都直接从一家和任天堂合作的公司(BroadOn)内部窃取。
黑客通过攻击BroadOn服务器,获得了Wii主机的所有源代码、数据表、设计框图以及每一个配件的Verilog文件(Verilog是一种硬件描述语言)。
据 Resetera 网友的最新爆料,目前 3DS 操作系统的完整源代码已经流传到了网上。
这次的泄露虽然没有包含设计文档,不过包含了许多有趣的开发文件。比方说根据 Log 文件中的引用,NVIDIA 看起来在 2006 年时就曾参与到了 3DS 的开发中,其他泄露的文件目录可以参见此处。考虑到 3DS 目前仍未淘汰,同时NS 操作系统也是基于 3DS 操作系统,此次泄露的影响恐怕更为严重。
除此之外,《宝可梦:珍珠/钻石》的源代码也泄露到了网上,不过此次泄露中没有出现新的宝可梦原型。部分玩家和媒体猜测,泄露者的手中可能还掌握了更多资料。
GDCA数安时代建议相关企业重视源代码泄露问题,特别是一些软件开发公司,不法分子也可能利用泄露的源代码中的已知漏洞来进行渗透,发起攻击。保护好自己的核心数据,需为源代码做好基础的安全保护措施。
01 / 部署代码签名证书
代码签名证书是对可执行程序和脚本进行数字签名的过程,以确认软件作者的身份,并确保代码自签名以来没有被修改或损坏。为了对代码进行签名,软件发布者需要生成一个私有公钥对,并将公钥提交给CA,同时发出代码签名证书的请求。CA验证发布者的身份,并验证发布者的数字签名证书请求。如果这个审核和密钥验证过程成功,CA将颁发代码签名证书。
有了代码签名证书,发布者就可以签署代码了。当代码被签名时,一些信息被添加到包含可执行代码的原始文件中,软件发布方的用户使用这些绑定的信息对发布方进行身份验证,并检查代码签名是否被篡改。
02 / 严格管理内部业务权限
在开发人员分级权限的基础上,增加数据存储及传输加密功能;必须重视内部权限管理,包括数据库、服务器、后台等各种关系公司核心资产的权限;必要时建议开始双重验证,这样可以最大程度避免一个员工的误操作或恶意行为;日志审计功能可追溯代码泄露问题。
据著名国际咨询服务公司Willis Towers Watson的网络保险理赔数据显示,2/3的网络安全问题是由于员工疏忽和渎职而直接或间接造成的。相较之下,仅有18%的网络安全问题是由外部威胁直接引发的。代码泄露问题往往来自内部以及离职员工。
03 / 安全意识培训
在加强权限管理的同时,各大公司需要对员工做安全培训,签订保密协议,为开发人员配备两台电脑,用于开发的电脑不能与外界交换数据。若没有自己的安全团队,可以选择第三方专业安全公司提供的安全服务,为企业做数据安全隔离建设。
此文内容来自GDCA数安时代,如涉及作品内容、版权和其它问题,请于联系工作人员,我们将在第一时间和您对接删除处理!