Разделы

Стратегия безопасности Бизнес Кадры

Программистка выложила в открытый доступ исходники 50 компаний от Microsoft до Qualcomm

Исходники различных программных разработок более чем 50 компаний оказались собранными в одном месте: любопытная программистка обнаружила их в плохо защищённых репозиториях. Пока ее деятельность не встретила сколько-нибудь последовательного сопротивления.

Не причинить вреда

Исходные коды программ, созданных крупнейшими ИТ- и медиакорпорациями со всего мира, оказались выложены в общий доступ: некая специалист по обратной разработке Тилли Коттманн (Tillie Kottmann) собрала в один репозиторий на GitLab всё, что смогла найти в незащищённых сетевых ресурсах, принадлежащих компаниям Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Mediatek, Hisilicon (подразделение Huawei), GE Appliances, Disney, Nintendo и др.

Коттманн заявила, что основным источником исходников для него стали плохо настроенные инструменты для интеграции и развёртывания программного обеспечения, из-за чего доступ к исходникам оказался открыт всем желающим.

Утечка затронула более 50 компаний. Помимо ИТ-корпораций, в репозиторий Коттманна попали исходники, принадлежащие финансово-технологическим компаниям (Fiserv, Buczy Payments, Mercury Trade Finance), банкам (Banca Nazionale del Lavoro), а также разработчикам средств авторизации и идентификации (Pirean Access: One) и игростроительным компаниям вроде Nintendo. Например, Коттманн и ее сподвижникам удалось найти исходные коды игр Super Mario World, Super Mario 64, The Legend of Zelda: Ocarina of Time и даже фрагменты кода несостоявшегося римейка Zelda 2.

Коттманн утверждает, что довольно часто ей попадаются реквизиты доступа, «вшитые» в исходники. Их она старается удалять, чтобы «предотвратить возникновение серьёзных последствий» от публикации исходного кода.

Исходники программных разработок более чем 50 компаний оказались собранными в одном месте: любопытная программистка обнаружила их в плохо защищённых репозиториях и забрала себе

При этом она в разговоре с редакцией издания Bleeping Computer признала, что не всегда связывается с владельцами незащищённых репозиториев. Что делает ее деятельность не вполне чистой с юридической точки зрения. Впрочем, по ее словам, она всегда удаляет исходники, если этого требуют правообладатели, и «с радостью» предоставляет им информацию о том, как усилить свою защиту.

Впрочем, пока лишь семь компаний (в том числе Daimler AG и Lenovo) прислали ей досудебные претензии или вообще попытались каким-либо образом выйти на связь.

Ряд разработчиков лишь попытались выяснить, как исходники попали к Коттманн, и не требовали их удаления - даже наоборот, пожелали «хорошо развлечься» при изучении кода.

Брать ли то, что плохо лежит?

Судя по публикации Коттманн на GitLab, часть проектов уже была опубликована в общем доступе самими разработчиками; некоторые проекты настолько давно не обновлялась, что могли считаться заброшенными.

Тем не менее, по мнению Коттманн, у огромного количества компаний отсутствует надлежащая защита репозиториев, доступных из Сети, а также, например, серверов с установленной на них платформой SonarQube, используемой для совместной работы над программным кодом и автоматизированного анализа его на предмет уязвимостей. По словам Коттманн, очень часто эти инсталляции плохо настроены, так что исходный код оказывается никак не защищён.

«Деятельность Коттманн находится в серой зоне, и с этической, и с технической, и, вероятно, с юридической точки зрения; если что-то плохо лежит, это ещё не повод это что-то утаскивать куда-то в другое место, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Даже если исходные коды, опубликованные Коттманн, лежали фактически в общем доступе, речь идёт об утечке данных, в том числе конфиденциальных; это может обернуться против него судебным процессом. С другой стороны, она относительно безобидным образом обратила внимание на совсем небезобидную проблему недостаточной защиты корпоративных репозиториев. И это может иметь куда более серьёзные последствия для компаний - правообладателей и разработчиков. Существует немало сценариев, при которых «утекшие» исходники могут быть использованы во вред их создателям».

Пока же Коттманн вместе с несколькими сподвижниками продолжает искать незащищённые репозитории и пополнять свою коллекцию. Остаётся неясным, какая часть утекших таким образом исходников считается сугубо проприетарной и, соответственно, не подлежащей публикации.

Роман Георгиев