Исходный код из открытых репозиториев различных международных компаний, работающих в разных отраслях деятельности (торговая, финансовая, технологичная, производственная, электронная коммерция и т. д.) стал доступен для всех в результате неправильной настройки инфраструктуры хранилища.
Появившийся в открытом доступе репозиторий утекших исходных кодов включает в себя множество громких имен: AMD, Microsoft, Adobe, Motorola, Disney, Nintendo, Hisilicon, Lenovo и многие другие. Причем перечень пострадавших компаний продолжает неуклонно расти.
Утечки данных были обнаружены и собраны воедино инженером и разработчиком Тилли Коттманом. Специалист собрала практически все найденные исходные коды компаний в собственном репозитории на Gitlab. Коттман отмечает, что на данный момент в репозитории содержатся утекшие исходные коды более полусотни компаний из разных стран мира.
Также Тилли Коттман отметила, что она вместе со своей командой ищут учетные данные в легкодоступных и незащищенных репозиториях. После обнаружения они стараются исправить ситуацию, чтобы не допустить нанесения прямого ущерба владельцу данных и обнаружения информации киберпреступниками, которые могут воспользоваться ими для совершения серьезных преступлений.
Комментируя произошедшее, Коттман отметила: «Я делаю все, что в моих силах, чтобы не допустить какие-либо серьезные вещи, которые потенциально могут возникать сразу после моих релизов на платформе GitLab».
Коттман говорит о том, что они не всегда могут связаться с компаниями, которые допустили утечку исходного кода, но они стараются, чтобы к минимуму свести отрицательное воздействие, которое обязательно возникает после публикации кода на GitLab.
Некоторые компании, которые были извещены об утечке исходного кода, вообще не предпринимают никаких действий, чтобы удалить его. Например, в одном из случаев представители компании просто уточнили у Коттман, как именно она смогла найти исходный код, а в другом случае специалист одной из пострадавших компаний и вовсе сказал ничего не удалять и пожелал Коттман «много веселья».
Большая часть компаний имеют неправильно сконфигурированные инструменты devops, что и позволяет получить их исходный код. Тилли Коттман со своей командной также проводят исследования серверов, на которых работает SonarQube – платформа с открытым исходным кодом для автоматического аудита кода и статистической аналитики для обнаружения ошибок, уязвимостей кибербезопасности.