根据从一个网站收集到的信息,Twitter 的一些专有源代码已经在 Github 上公开了将近三个月。 DMCA 移除请求 24 月 XNUMX 日提交。
GitHub 是全球最大的代码托管平台。 由 Microsoft 拥有,它提供的服务超过 100万开发商 并包含 近 400 个存储库 在所有。
24 月 XNUMX 日,GitHub 尊重了 Twitter 员工的请求,删除了“Twitter 平台和内部工具的专有源代码”。 该代码已发布在 名为“PublicSpace”的存储库, 由用户名为“言论自由爱好者” 这个名字明显参考了 Elon Musk 的 宣战 于 XNUMX 月接管 Twitter(这一理念一直 实施不均衡 几个月后)。
泄露的代码包含在四个文件夹中。 尽管截至 24 月 XNUMX 日无法访问,但某些文件夹名称(例如“auth”和“aws-dal-reg-svc”)似乎暗示了它们包含的内容。
据 Ars Technica 报道,FreeSpeechEnthusiast 于 3 月 XNUMX 日加入 Github,并在同一天提交了所有泄露的代码。 这意味着,在将近三个月的时间里,公众可以完全访问该代码。
企业源代码泄漏是如何发生的
大型软件公司建立在数百万行代码的基础上,时不时地,出于某种原因,其中一些代码可能会泄漏。
“坏人当然扮演了重要角色,”GitGuardian 的开发倡导者 Dwayne McDaniel 说。 “我们去年在类似的情况下看到了它 Samsung 和 尤伯杯 涉及 Lapsus$ 组设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
不过,黑客并不总是故事的一部分。 在 Twitter 的案例中,间接证据表明员工不满意。 而且“其中很大一部分还来自于代码无意中结束了它不属于它的地方,正如我们在丰田看到的那样,分包商公开了私有代码库的副本,”他补充道。 “使用 git 和 CI/CD 的复杂性,再加上现代应用程序要处理的回购数量不断增加,意味着私有回购上的代码可能会被错误地公开。”
企业源代码泄露问题
对于 Twitter 和类似的公司来说,源代码泄露对于网络安全来说可能是一个比侵犯版权更大的问题。 一旦私有存储库公开,各种危害就会随之而来。
“重要的是要记住,源存储库通常包含的不仅仅是代码,”新思科技网络安全研究中心首席安全策略师 Tim Mackey 指出。 “您会找到测试用例、可能的示例数据以及有关如何配置软件的详细信息。”
代码中还可能隐藏敏感的个人信息和身份验证信息。 例如,“对于一些从未打算交付给客户的应用程序,源代码存储库中包含的默认配置可能只是运行配置,”Mackey 说。 黑客可以使用窃取的身份验证和配置数据对泄漏的受害者进行更大更好的攻击。
这就是为什么“公司应该采用更安全的机密管理策略,将机密存储与机密检测相结合,”GitGuardian 的 McDaniel 说。 “组织还应该审核他们当前的秘密 [s] 泄漏情况,以了解如果确实发生代码泄漏,哪些系统会面临风险,以及应该在哪里确定优先级。”
但在泄漏来自内部的情况下——比如 Twitter 的——甚至需要更加谨慎。 Mackey 说,它需要对企业的源代码管理进行全面的威胁建模和分析。
“这很重要,因为如果有人可以触发源代码泄漏,那么他们也可能有能力更改源代码,”他说。 “如果您不使用多因素身份验证进行访问,只对批准的用户实施有限访问,实施访问权限和访问监控,那么您可能无法全面了解某人如何利用您的开发团队在他们时所做的假设保护他们的源代码存储库。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/attacks-breaches/twitter-source-code-leak-github-potential-cyber-nightmare
- :是
- $UP
- 100
- 7
- a
- 对,能力--
- ACCESS
- 无障碍
- 根据
- 演员
- 添加
- 采用
- 主张
- 驳
- 所有类型
- 时刻
- 分析
- 和
- 另一个
- 明显的
- 应用领域
- 批准
- 保健
- AS
- At
- 攻击
- 审计
- AUTH
- 认证
- 可使用
- 背部
- 坏
- BE
- 因为
- 成为
- 成为
- 更好
- 大
- 建
- by
- 被称为
- CAN
- 捕获
- 携带
- 案件
- 例
- Center
- 更改
- 码
- 代码库
- 结合
- 结合
- 提交
- 公司
- 复杂
- 配置
- 包含
- 包含
- 版权
- 侵犯版权
- 套餐
- 电流
- 合作伙伴
- 网络
- 网络安全
- data
- 天
- 处理
- 默认
- 详情
- 检测
- 开发商
- 研发支持
- 伊隆
- 伊隆麝香
- 员工
- 强制执行
- 企业
- 完全
- 甚至
- 不断增长
- 所有的
- 证据
- 例子
- 利用
- 找到最适合您的地方
- 专注焦点
- 遵循
- 针对
- 止
- ,
- 混帐
- GitHub上
- 给
- 非常好
- 更大的
- 黑客
- 有
- 老旧房屋
- 荣幸
- 托管
- 创新中心
- HTTPS
- 重要
- in
- 无法访问
- 个人
- 信息
- 侵害
- 内部
- IT
- 一月三十一日
- 加盟
- 知道
- 最大
- (姓氏)
- 去年
- 泄漏
- 泄漏
- 喜欢
- 有限
- 访问受限
- 线
- 制成
- 主要
- 颠覆性技术
- 三月
- 最大宽度
- 手段
- 微软
- 可能
- 百万
- 百万
- 错误
- 现代
- 监控
- 个月
- 更多
- 多因素身份验证
- 麝香
- 姓名
- 名称
- 几乎
- 数
- 十月
- of
- on
- 一
- 组织
- 拥有
- 部分
- 个人
- philosophy
- 图片
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 点
- 潜力
- 可能
- 校长
- 优先级
- 私立
- 市场问题
- 所有权
- 国家
- 公然
- 出版
- RE
- 原因
- 纪念
- 去掉
- 知识库
- 请求
- 需要
- 研究
- 权利
- 风险
- 角色
- 运行
- s
- 同
- 说
- 屏风
- 安全
- 担保
- 保安
- 敏感
- 服务
- 运
- 应该
- 自
- 情况
- So
- 软件
- 一些
- 有人
- 来源
- 源代码
- 被盗
- 存储
- 故事
- 战略家
- 策略
- 产品
- 服用
- 队
- test
- 这
- 世界
- 其
- 威胁
- 三
- Tim
- 至
- 工具
- 丰田
- 触发
- 使用
- 用户
- 受害者
- 什么是
- 这
- 中
- 加工
- 世界
- 年
- 完全
- 您一站式解决方案
- 和风网