DevOps应用程式配置不当微软、Adobe等50家知名企业原始码全都露

情境示意图，photo by Jan Antonin Kolar on unsplash

一名来自瑞士的开发人员暨反向工程师Tillie Kottmann近日在GitLab上，公开了逾50家知名企业的原始码，从微软、Adobe、Amd到台湾的联发科（Mediatek），而Kottmann则说，这是因为这些公司的DevOps应用程式配置不良才让他有机可趁，存取了它们的私有原始码。

Kottmann把所有的原始码都置放在GitLab的公开储存库中，而且透过Twitter公开了连结，可能引起了太大的骚动，Kottmann随后自Twitter上移除了档案连结，不过其GitLab储存库依然可公开存取部份档案。

资安业者Bank Security纪录了受害者名单，显示出它们横跨了金融、零售、电子商务、製造业及科技产业，总计有53家企业受害，而包括联想、Adobe、Amd、微软、Motorola、高通、联发科等科技业者，都在名单上。

Bank Security指出，当中至少有两个金融领域的受害者，一个是专门开发银行软体的西班牙业者Mercury TFS，另一为奈及利亚的支付架构建置商TeamApt。此外，有些文件内容还藏有企业凭证。

至于Kottmann则向BleepingComputer透露，只要有人合法提出移除请求，他就会遵循，也很愿意提供资讯以让业者强化它们的安全架构。

擅于寻找配置失误的Kottmann经常出现在媒体上，今年他曾向ZDNet爆料，宣称他在汽车大厂Mercedez-Benz母公司Daimler AG就地部署的GitLab伺服器上，发现一个配置问题，使他得以下载隶属该公司的Git储存库，内含许多机密资讯，包括一个应用在Mercedes-Benz厢型车上的机载逻辑元件（Onboard Logic Unit，OLU) 原始码；而去年初当Google公布暗藏Google I/O的举办日期与地点的谜题时，Kottmann是第一个解开谜题的，但他并非真的解题成功，而是直接从Google储存贮体中一个JSON档案中找到了答案。