Quellcode-Leck: Code aus öffentlichen Repositorys großer Firmen durchgesickert
Teils proprietärer Quellcode von rund 50 Firmen lag offen zugänglich im Netz – falsch konfigurierte Infrastruktur dürfte der Grund gewesen sein.
(Bild: CarpathianPrince/Shutterstock.com)
- Silke Hahn
Die Schweizer Android-Entwicklerin Tillie Kottmann hat durch eigene Recherche in falsch konfigurierten DevOps-Tools – darunter beispielsweise SonarQube-Server – sowie verschiedenen anderen Quellen eine Reihe von Datenlecks aufgespürt, die unbeabsichtigt Zugang zu Quellcode offenlegen. Von den Schwachstellen betroffen sind rund 50 Firmen unterschiedlichster Branchen wie Finanzen, Technologie, Einzelhandel, Fertigung und eCommerce. Die Datenlecks finden sich den Forschern von Bank Security zufolge nicht nur bei einigen Banken und Anbietern von Identitäts- und Zugriffsverwaltung, auch namhafte Unternehmen wie Microsoft, Lenovo, Nintendo, AMD, Motorola, Disney sowie die Huawei-Tochterfirma Hisilicon sind wohl betroffen.
Datenlecks aufdecken, Datenlecks schließen
Kottmann hat den durchgesickerten Code von rund 50 Unternehmen, der sich offenbar mehrheitlich als "Confidential & Proprietary" einstufen lässt, in einem öffentlich zugänglichen GitLab-Repository gesammelt. Noch unklar ist, zu welchen Teilen der offengelegte Code betroffener Firmen proprietär ist. Mitunter seien in dem Code auch hart kodierte Zugangsdaten enthalten – nicht immer habe man vorab die betroffenen Unternehmen kontaktiert, wie die Schweizerin gegenüber dem Online-Portal Bleeping Computer auf Nachfrage einräumte, doch sie bemühe sich, "die negativen Auswirkungen der Veröffentlichung so gering wie möglich zu halten".
Offenbar bietet Kottmann betroffenen Firmen als Dienstleistung an, die undichten Stellen zu schließen. Bisher haben sich aber wohl noch nicht alle durch ihn Kontaktierten zum Abdichten der Lecks entschieden. Darüber hinaus hätten allerdings einige der Entwickler hinter den in Kottmanns GitLab-Repository veröffentlichten Quellcodes inzwischen über die Datenlecks informiert.
Einer der häufigsten Gründe für Datenlecks sei Kottmann zufolge eine schlecht oder sogar falsch konfigurierte Infrastruktur. Insbesondere DevOps-Tools wie beispielsweise die Open-Source-Plattform SonarQube, deren Dienste für automatisiertes Debugging und statische Code-Analyse viele Entwickler nutzen, um Schwachstellen aufzuspüren, könne selbst zur Ursache für ein Datenleck werden. Wird die Installation nicht sicher konfiguriert, kann sie auch proprietären Code zugänglich machen, erklärt Kottmann.
Tillie Kottmann berichtet auf der eigenen Webseite, auf einem Telegram-Kanal sowie auf Twitter unter dem Pseudonym deletescape regelmäßig über Lecks. Unter anderem erläuterte sie dort auch ein als Gigaleak bezeichnetes größeres Leck bei Nintendo, durch das der Quellcode und die Entwicklungs-Repositorys einiger klassischer Spiele zugänglich wurden.
(sih)
