이들 회사에는 마이크로소프트, Adobe, Lenovo, AMD, 고통, 모토로라, 하이스, 닌텐도, 디즈니, 강삼자제 등이 포함되며 이 명단은 계속 증가하고 있다.
스위스 출신의 개발자인 Tillie Kottmann 은 다양한 타사 출처를 통해 이러한 취약점을 수집했으며, DevOps 도구에서 소스 코드에 액세스하는 데 사용할 수 있는 많은 구성 오류를 발견했습니다.
유출된 소스 코드는 GitLab 의 오픈 리소스 풀에 "exconfidential" 과 "Confidential &;; 독점 "(기밀&; 독점).
(업데이트: GitLab 저장소가 모두 삭제되었습니다. Kottmann 은 이제 telegram groups 를 사용하여 이 정보를 게시합니다. ) 을 참조하십시오
보안 연구 기관인 Bank Security 가 제공한 정보에 따르면 이 저장소에는 약 50 개 회사의 소스 코드가 포함되어 있습니다. 그러나 일부 폴더는 비어 있고 일부 폴더에는 하드 코딩된 자격 증명이 있습니다. 이는 뒷문을 만드는 한 가지 방법입니다.
코트만은 일부 코드베이스에 하드 코딩된 인증서가 있다고 언급했다. 그는 발표하기 전에 가능한 한 삭제하여 "직접적인 상해나 더 큰 피해를 입히지 않도록 한다" 고 말했다. " 또한 그는 발표 전에는 영향을 받는 모든 회사를 접촉하지 않았지만 "부정적인 영향을 최소화하기 위해 최선을 다했다" 고 인정했다.
현재 Kottmann 은 일부 기업의 요청에 따라 코드를 삭제했다. 메르세데스-벤츠의 모회사인 다임러 주식회사, Lenovo 의 폴더도 이미 비어 있습니다. 코드 삭제를 요구하는 회사에 대해 코트만은 준수에 대한 의지를 표명하고 "회사가 인프라의 보안을 강화할 수 있도록 돕는다" 는 정보를 제공했다.
실제로 DMCA 통지를 받은 수 (최대 7 개 추정) 와 법인 대표와의 접촉을 보면 많은 회사들이 코드 유출 사건에 대해 아직 알지 못하고 있다. 코드를 삭제할 의향이 없는 회사도 있고, 심지어' 재미있다' 고 생각하는 회사도 있다. Kottmann 이 어떻게 코드를 얻었는지 알고 싶을 뿐이다.
부분적으로 유출된 코드는 이미 원래 개발자에 의해 공개되었거나 오랫동안 업데이트 유지 보수가 없었다. 사이버 보안회사인 ImmuniWeb 의 설립자이자 CEO 인 일리아 콜로첸코 (Ilia Kolochenko) 는 "기술적 관점에서 이번 유출은 그다지 심각하지 않다. 일상적인 지원과 개선이 없으면 소스 코드가 급속히 하락할 것" 이라고 지적했다.
그럼에도 불구하고, 이처럼 대규모 누출의 원인은 여전히 주목할 만하다. 많은 회사들이 잘못된 DevOps 도구 구성을 사용하여 소스 코드가 노출되었습니다. Kottmann 과 그의 팀은 최근 sonar cube 를 실행하는 서버를 탐구하고 있으며, 수천 개의 기업들이 sonar cube 설치를 제대로 보호하지 못해 소스 코드를 노출했다는 사실을 발견했습니다.
보안전문가 잭 무어 (Jake Moore) 는 기술 사이트 톰 가이드 (Tom's Guide) 에 대해 "소스 코드에 대한 통제력을 잃는 것은 은행 청사진을 강도에게 넘겨주는 것과 같다. 영향을 받는 사이트는 즉시 보호 조치를 취해야 한다. 사용자가 회사 전에 자신의 데이터를 발견하면
법적 차원에서 콜로첸코는 소스 코드 발행자가 저작권 침해 또는 컴퓨터 법률 위반으로 기소될 수 있다고 생각하지만, 일반적으로 대기업은 상소하지 않고 저장소에서 소스 코드를 신속하게 제거하고 내부 DevOps 보안 프로세스를 복구하는 것을 선호합니다.
이를 위해 콜로첸코는 "기업은 DevOps 운영을 수정하고 지속적으로 모니터링하여 민첩한 DevSecOps 로 바꿔야 한다" 고 조언했다.