Se filtró el código fuente empresarial
Estas empresas incluyen Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, HiSilicon, Nintendo, Disney, Johnson Controls, etc., y la lista sigue creciendo.
Tillie Kottmann, un desarrollador de Suiza, recopiló estas vulnerabilidades a través de varias fuentes de terceros. Él mismo también encontró muchos errores de configuración en las herramientas DevOps, que se pueden utilizar para acceder al código fuente.
El código fuente filtrado se publicó en un repositorio de código abierto en GitLab y se marcó como "exconfidencial" y "Confidencial y propietario".
(Actualización: el repositorio de GitLab se ha eliminado por completo y Kottmann ahora utiliza grupos de Telegram para publicar esta información).
Según la información proporcionada por la organización de investigación de seguridad Bank Security, El repositorio contiene aproximadamente 50 códigos fuente de la empresa. Pero algunas carpetas están vacías y otras tienen credenciales codificadas, una forma de crear una puerta trasera.
Kottman mencionó que existen credenciales codificadas en algunas bases de código y las elimina siempre que es posible antes de publicarlas, "para evitar causar daño directo o contribuir a un daño mayor". que no se comprometió con todas las empresas afectadas antes de publicar, pero que se aseguraron de "tratar de hacer todo lo posible para minimizar el impacto negativo".
Actualmente, Kottmann ha eliminado el código a petición de algunas empresas. Por ejemplo, Daimler AG, la empresa matriz de Mercedes-Benz, la carpeta de Lenovo también está vacía. Para las empresas que solicitan eliminar el código, Kottmann dijo que está dispuesto a cumplir y proporcionar información "para ayudar a las empresas a mejorar la seguridad de su infraestructura".
De hecho, a juzgar por el número de avisos de DMCA recibidos (se estima que son hasta 7) y los contactos con representantes legales, muchas empresas aún desconocen la filtración del código. También hay empresas que no tienen intención de eliminar el código, y algunas incluso piensan que es "muy interesante" y sólo quieren saber cómo obtuvo Kottmann el código.
Algunos de los códigos filtrados han sido publicados públicamente por sus desarrolladores originales o no han sido actualizados ni mantenidos durante mucho tiempo. Ilia Kolochenko, fundador y director ejecutivo de la empresa de ciberseguridad ImmuniWeb, señaló que "desde un punto de vista técnico, esta filtración no es muy grave... No hay soporte diario y las mejoras en el código fuente se depreciarán rápidamente".
Sin embargo, las razones de una filtración a tan gran escala siguen siendo dignas de atención. Muchas empresas utilizan configuraciones incorrectas de las herramientas DevOps, lo que provoca la exposición del código fuente. Kottmann y su equipo estaban explorando recientemente servidores que ejecutaban Sonar Cube y descubrieron que miles de empresas tenían su código fuente expuesto al no asegurar adecuadamente sus instalaciones de Sonar Cube.
Con respecto al acto de filtrar el código fuente, el experto en seguridad Jake Moore dijo al sitio web de tecnología Tom's Guide: "Perder el control del código fuente es como darle los planos del banco a un ladrón. Lo mismo... Sitios afectados deberían tomar medidas de protección inmediatas... Si los usuarios descubren que sus datos han sido comprometidos antes de que lo haga la compañía, sin duda echarán sal en la herida."
Basándose en el aspecto legal, Kolochenko cree que los editores de código fuente pueden ser demandados por infracción de derechos de autor o violación de las leyes informáticas, pero normalmente las grandes empresas no apelarán, preferirían eliminarlo rápidamente del repositorio de código fuente. y arreglar sus procesos internos de seguridad de DevOps.
Con este fin, Kolochenko sugirió que "las empresas deberían modificar y monitorear continuamente las operaciones de DevOps para convertirlas en DevSecOps ágiles".