21CTO导读：哔哩哔哩的GitHub代码泄露事件热潮还未过
上个月，大疆前员工就因在GitHub上泄露代码被法院判处有期徒刑半年，罚款20万。
或许是三星工程师觉得大疆的最终判决还不够狠。
这不，昨日又在GitLab上泄露了多个内部项目代码，包括SmartThings 和 Bixby 的源代码
我们具体来看看是怎么回事儿吧 ···

 


 
 
5月9日，外媒TechCrunch 报导称，三星公司用于代码储存的 GitLab上，多项供工程师使用的数据，被设为「公开」状态而且没有设置密码保护。未设置权限的的数据为 SmartThings 和 Bixby 的源代码，同时有 AWS 帐号的证书，黑客完全可以藉此获得三星员工的 GitLab 令牌，并进而获得更多的其他权限。
 

部分泄露代码截图
 
Hussein向TechCrunch表示，泄露的文件夹中不仅包含了三星 SmartThings 和 Bixby 服务的日志和分析数据（其中日志里包含iOS和Android应用的私有证书），而且还包括以明文形式存储的员工个人的GitLab令牌。这些数据使得他能够获取另外135个项目的访问权限。如果黑客利用这些数据，在相关源代码中放置恶意代码实施攻击，三星不会有任何察觉。
 
SmartThings是三星手机的一款应用，主要功能是控制智能家居设备。从灯光到恒温器，再到安全摄像头等，都能使用SmartThings进行控制。
Bixby是三星手机的语音助手，可以帮助智能手机通过语音命令执行任务。同时，它还具有图像识别和语言翻译。类似于苹果的Siri。
 
到目前为止，这两款应用在Google Play的下载安装量已高达1亿多次。
 
Hussein称，自己在 4 月 10 日向三星回报过这个问题，但该公司一直未对泄露事件做出积极回应。之后，Hussein 向 TechCrunch 媒体共享了一些截屏和自己的研究成果视频进行审查和验证。
 
三星公司官方回应称，Gitlab上泄露的文件其中一部分只是用于内部测试，不会影响到实际的用户体验，相信不会出现 Hussein 所担心的问题。三星公司的发言人Zach Dugan表示：“我们迅速撤销了所有测试平台上密钥和证书的报告，我们尚未发现任何外部访问的迹象，目前正在进一步调查此事。”
 
然而，直到4月30日，三星官方都没有撤销相关的 GitLab 登入码和凭证。作为一家世界500强企业却出现如此严重的错漏，实在叫人失去信心。

 
代码泄露事件为何层出不穷？
 
企业和个人的的安全意识淡薄是造成代码泄露最根本的原因。其实，源代码对于企业来说，是公司的核心竞争力，公司本身应对此引起高度重视。而作为一名开发者，也应有自己的职业素养。网络安全问题从来都不是小问题，一旦被恶意攻击者得逞，可能会对企业和用户带来灾难性后果。
 

来源：看雪学院