Depositphotos
Исходные коды, принадлежащие нескольким десяткам крупных компаний, включая Microsoft, Nintendo, Disney и другие, оказался в открытом доступе из-за ошибки в конфигурации IT-систем этих брендов. Они были собраны воедино разработчицей Тилли Коттман и опубликованы на платформе GitLab. ИБ-эксперты предупреждают, что исходный код, попавший в руки киберпреступников, может предоставить им практически полный доступ к конфиденциальным данным компании.
Исходные коды около 50 крупных международных компаний из разных сфер бизнеса оказались в открытом доступе из-за ошибок в конфигурации их IT-инфраструктуры, сообщает портал Bleeping Computer. Среди пострадавших значатся Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (принадлежит Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls и другие бренды. Их количество продолжает расти.
Фрагменты кода были собраны воедино из открытых репозиториев швейцарской разработчицей по имени Тилли Коттман. По словам Коттман, иногда ей попадались даже неизменяемые учетные данные, которые она старалась уничтожить во избежание дальнейшего злоупотребления.
Как заявила разработчица, она не всегда уведомляет компании об утечке кода, но старается «минимизировать» возможные негативные эффекты от публикации.
При этом Коттман всегда удаляет опубликованные данные при запросе от компании-владельца и дает рекомендации касательно усиления киберзащиты бренда. Отмечается, что папки Daimler AG и Lenovo в аккаунте разработчицы на платформе GitLab на момент публикации заметки являются пустыми. Однако не все пострадавшие выразили обеспокоенность утечкой собственного кода, который стал достоянием общественности. Одна из компаний лишь поинтересовалась, откуда Коттман получила код, а затем пожелала ей «хорошо повеселиться».
Несмотря на то что действия Тилли Коттман не до конца этичны, хотя и не лишены добрых намерений, беспечность компаний по отношению к исходному коду может дорого им обойтись, предупреждает ИБ-исследователь компании ESET Джейк Мур.
«Потеря контроля над исходным кодом в интернете — это все равно, что отдать подробную карту банка грабителям», — заявил эксперт.
По словам Мура, опубликованная Коттман информация в скором времени попадет в руки киберпреступников, которые постоянно заняты поиском уязвимостей.
«Тем сайтам, которые пострадали из-за утечки, необходимо немедленно принять дополнительные меры защиты, чтобы спасти эти сайты от неизбежного увеличения вредоносного трафика и избежать дальнейшей компрометации данных. Тем не менее, похоже, что некоторые жертвы еще даже не подозревают об утечке, что может сильно усложнить ситуацию, если хакеры узнают об этом раньше самих компаний», — сказал представитель ESET.
Впрочем, не все киберпреступники ищут финансовую выгоду. На минувших выходных стало известно о хакерах, которые взломали свыше тысячи незащищенных баз данных, находящихся в открытом доступе. При этом преступники стерли всю информацию из хранилищ, в которые смогли попасть.
«Я думаю, что в большинстве [последних] случаев злоумышленники, стоящие за атаками, делают это просто ради удовольствия, просто потому что они могут и потому что это действительно просто сделать. Таким образом, это очередной тревожный звоночек для отрасли и компаний, которые игнорируют правила цифровой гигиени и теряют свои данные и данные своих клиентов в мгновение ока», — отметил ИБ-эксперт Боб Дьяченко.