[大疆程序员在 GitHub 公开源码泄密,造成百万损失……该案在 4 月底刚宣判,那位涉事程序员被判 6 个月,罚款 20 万]
无独有偶,这种晒源码泄密事件,又来了一起。
5 月 8 日,多家外媒报道了三星程序员的同类行为,把高度机密的源码、多个内部项目的敏感信息和私钥,一起在 GitLab 上给「开源」了。
和大疆程序员案件一样,发现三星程序员泄密的还是白帽黑客。
迪拜安全研究员 Mossab Hussein 发现其中一个项目包括的包含了可以访问正在使用的整个 AWS 账户的信息,包括 100 多个 S3 存储桶,其中包含日志和分析数据。
Hussein 说,其中许多文件夹包含了三星 SmartThings 和 Bixby 服务的日志和分析数据,但也有几名三星程序员公开了以明文形式存储的 GitLab 专用令牌,这让他能够从 42 个公共项目获得额外的访问权限,进入 135 个项目,其中包括许多私人项目。
(包括 AWS 账号私密信息的截图)
Hussein 联系三星,对方回复他说是里面有些文件是用于测试的。[图片上传失败...(image-6964ff-1557491241869)]
但 Hussein 提出了质疑,他在 GitLab 存储库中发现的源代码,与 4 月 10 日在Google Play 上发布的 Android 应用程序代码相同。
无论是不是内部项目,这种晒代码泄露机密信息的案例,以后绝对还有!
这些晒源码的三星程序员,可以祭天了吧?
网友评论