又是源代码泄露，这次是世界五百强的三星

哔哩哔哩的 GitHub 代码泄露事件热潮还未过

上个月，大疆前员工就因在 GitHub 上泄露代码被法院判处有期徒刑半年，罚款20万。

或许是三星工程师觉得大疆的最终判决还不够狠。

这不，昨日又在 GitLab 上泄露了多个内部项目代码，包括 SmartThings 和 Bixby  的源代码

我们具体来看看是怎么回事儿吧 ···

5月9日，外媒 TechCrunch 报导称，三星公司用于代码储存的 GitLab 上，多项供工程师使用的数据，被设为「公开」状态而且没有设置密码保护。未设置权限的的数据为 SmartThings 和 Bixby 的源代码，同时有 AWS 帐号的证书，黑客完全可以藉此获得三星员工的 GitLab 令牌，并进而获得更多的其他权限。

部分泄露代码截图

Hussein 向 TechCrunch 表示，泄露的文件夹中不仅包含了三星  SmartThings  和  Bixby  服务的日志和分析数据（其中日志里包含 iOS 和 Android 应用的私有证书），而且还包括以明文形式存储的员工个人的 GitLab 令牌。这些数据使得他能够获取另外135个项目的访问权限。如果黑客利用这些数据，在相关源代码中放置恶意代码实施攻击，三星不会有任何察觉。

SmartThings是三星手机的一款应用，主要功能是控制智能家居设备。从灯光到恒温器，再到安全摄像头等，都能使用SmartThings进行控制。

Bixby是三星手机的语音助手，可以帮助智能手机通过语音命令执行任务。同时，它还具有图像识别和语言翻译。类似于苹果的Siri。

到目前为止，这两款应用在 Google Play 的下载安装量已高达1亿多次。

Hussein 称，自己在 4 月 10 日向三星回报过这个问题，但该公司一直未对泄露事件做出积极回应。之后， Hussein  向 TechCrunch  媒体共享了一些截屏和自己的研究成果视频进行审查和验证。

三星公司官方回应称， Gitlab 上泄露的文件其中一部分只是用于内部测试，不会影响到实际的用户体验，相信不会出现 Hussein 所担心的问题。三星公司的发言人 Zach Dugan 表示：“我们迅速撤销了所有测试平台上密钥和证书的报告，我们尚未发现任何外部访问的迹象，目前正在进一步调查此事。”

然而，直到4月30日，三星官方都没有撤销相关的 GitLab 登入码和凭证。作为一家世界500强企业却出现如此严重的错漏，实在叫人失去信心。

代码泄露事件为何层出不穷？

企业和个人的的安全意识淡薄是造成代码泄露最根本的原因。其实，源代码对于企业来说，是公司的核心竞争力，公司本身应对此引起高度重视。而作为一名开发者，也应有自己的职业素养。网络安全问题从来都不是小问题，一旦被恶意攻击者得逞，可能会对企业和用户带来灾难性后果。

来源：新浪科技

- End -

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多资讯