事件一

梅德賽斯-奔馳中安裝的“智能汽車”組件源代碼被洩露在網上。

研究人員發現奔馳品牌所屬主體戴姆勒股份公司 (Daimler AG) 的一個 Git web 門戶。他指出，自己能夠在戴姆勒的代碼托管門戶上注冊一個賬戶，之後下載包含車載邏輯單元 (OLUs) 源代碼的580多個 Git 倉庫。

研究人員查看了其中一些遭洩露的 Git 倉庫，結果發現所查看的文件中均未包含任何開源許可，表明這是并不打算公開的專有代碼信息。被洩露項目不僅包括奔馳 OLU 組件的源代碼，而且還包括 Raspberry Pi 鏡像、服務器鏡像、用于管理遠程 OLUs 的内部戴姆勒組件、内部文檔、代碼樣本等等的源代碼。

雖然剛開始這些源代碼洩露看似無害，但威脅情報公司 Under the Breach 查看該數據後認為，他們發現了戴姆勒内部系統的密碼和 API 令牌。這些密碼和訪問令牌如落入不法之徒手中可被用于攻擊戴姆勒雲和内部網絡。戴姆勒公司收到通知後撤掉研究人員用于下載該數據的 GitLab 服務器。

事件二

此前，有位匿名用戶在美國論壇4chan中，陸陸續續上傳了大量任天堂内部檔案。此外，Youtube博主Sebastian也整理了類似N64遊戲的Demo。

Resetera網站用戶Atheerios密切關注了此次事件，他認為，所有的數據、文件都直接從一家和任天堂合作的公司(BroadOn)内部竊取。

黑客通過攻擊BroadOn服務器，獲得了Wii主機的所有源代碼、數據表、設計框圖以及每一個配件的Verilog文件(Verilog是一種硬件描述語言)。

據 Resetera 網友的最新爆料，目前 3DS 操作系統的完整源代碼已經流傳到了網上。

這次的洩露雖然沒有包含設計文檔，不過包含了許多有趣的開發文件。比方說根據 Log 文件中的引用，NVIDIA 看起來在 2006 年時就曾參與到了 3DS 的開發中，其他洩露的文件目錄可以參見此處。考慮到 3DS 目前仍未淘汰，同時NS 操作系統也是基于 3DS 操作系統，此次洩露的影響恐怕更為嚴重。

除此之外，《寶可夢：珍珠/鑽石》的源代碼也洩露到了網上，不過此次洩露中沒有出現新的寶可夢原型。部分玩家和媒體猜測，洩露者的手中可能還掌握了更多資料。

GDCA數安時代建議相關企業重視源代碼洩露問題，特别是一些軟件開發公司，不法分子也可能利用洩露的源代碼中的已知漏洞來進行滲透，發起攻擊。保護好自己的核心數據，需為源代碼做好基礎的安全保護措施。

01 / 部署代碼簽名證書

代碼簽名證書是對可執行程序和腳本進行數字簽名的過程，以确認軟件作者的身份，并确保代碼自簽名以來沒有被修改或損壞。為了對代碼進行簽名，軟件發布者需要生成一個私有公鑰對，并将公鑰提交給CA，同時發出代碼簽名證書的請求。CA驗證發布者的身份，并驗證發布者的數字簽名證書請求。如果這個審核和密鑰驗證過程成功，CA将頒發代碼簽名證書。

有了代碼簽名證書，發布者就可以簽署代碼了。當代碼被簽名時，一些信息被添加到包含可執行代碼的原始文件中，軟件發布方的用戶使用這些綁定的信息對發布方進行身份驗證，并檢查代碼簽名是否被篡改。

02 / 嚴格管理内部業務權限

在開發人員分級權限的基礎上，增加數據存儲及傳輸加密功能；必須重視内部權限管理，包括數據庫、服務器、後台等各種關系公司核心資産的權限；必要時建議開始雙重驗證，這樣可以最大程度避免一個員工的誤操作或惡意行為；日志審計功能可追溯代碼洩露問題。

據著名國際咨詢服務公司Willis Towers Watson的網絡保險理賠數據顯示，2/3的網絡安全問題是由于員工疏忽和渎職而直接或間接造成的。相較之下，僅有18%的網絡安全問題是由外部威脅直接引發的。代碼洩露問題往往來自内部以及離職員工。

03 / 安全意識培訓

在加強權限管理的同時，各大公司需要對員工做安全培訓，簽訂保密協議，為開發人員配備兩台電腦，用于開發的電腦不能與外界交換數據。若沒有自己的安全團隊，可以選擇第三方專業安全公司提供的安全服務，為企業做數據安全隔離建設。

聲明：本網站發布的圖片均以轉載為主，如果涉及侵權請盡快告知，我們将會在第一時間删除。本站原創内容未經允許不得轉載，或轉載時需注明出處：GDCA數安時代

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!