全球眾多巨頭原始碼線上洩漏，海思在列。

由於基礎架構配置不正確，來自各個活動領域（技術，金融，零售，食品，電子商務，製造業）的50多家全球巨頭公司的公開資料庫的原始碼可公開獲得。

​

洩漏程式碼的公共儲存庫中包括微軟，Adobe，聯想，AMD，高通，摩托羅拉，海思（由華為擁有），聯發科技，GE家電，任天堂，Roblox，迪士尼，江森自控等知名公司，而且這個清單還在增長。

原始碼洩漏完整受害者列表（圖片）：

原始碼洩漏完整受害者列表（文字）：

• Johnson Controls（江森自控）
• iLendx  （聯想）
• Banca Nazionale del Lavoro
• Lenovo-smart-display-7
• Adobe
• Fastspring
• GE Appliances（GE電器）
• Mercury TFS
• GovCloudRecords
• MyDesktop
• eMasurematics
• Buckzy
• TeamApt
• Alpha FX
• Covid Apps
• Romeo Power
• Digital Health Department
• DRO Health
• Elgin Industries
• Berkeley Lights
• Pwnee Studios
• NYNJA
• Tapway
• BlocPower
• Capital Technology Services
• Lenovo（聯想）
• AMI
• insyde
• Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
• KaiOS
• AMD
• Chenyee / Gionee
• Disney（迪士尼）
• Mineplex
• Daimler
• Rockchip
• HiSilicon（海思）
• Aukey
• Chunmi
• Xiaomi's Kitchen Appliance Subsidiary
• PUKKA
• Roblox Corporation
• Microsoft（微軟）
• Motorola（摩托羅拉）
• Qualcomm（高通）
• Mediatek（聯發科）
• Bahwan CyberTek
• CryptoSoul
• gms
• ReactMobile
• ЦЭККМП
• Tactical Electronics
• Siasun

RAW貼上資料：

• Johnson Controls
• iLendx
• Banca Nazionale del Lavoro
• Lenovo-smart-display-7
• Adobe
• Fastspring
• GE Appliances
• Mercury TFS
• GovCloudRecords
• MyDesktop
• eMasurematics
• Buckzy
• TeamApt
• Alpha FX
• Covid Apps
• Romeo Power
• Digital Health Department
• DRO Health
• Elgin Industries
• Berkeley Lights
• Pwnee Studios
• NYNJA
• Tapway
• BlocPower
• Capital Technology Services
• Lenovo
• AMI
• insyde
• Erobbing / Luobin They make various Android based devices, like DVRs and Law Enforcement devices. http://www.erobbing.com/
• KaiOS
• AMD
• Chenyee / Gionee
• Disney
• Mineplex
• Daimler
• Rockchip
• HiSilicon
• Aukey
• Chunmi
• Xiaomi's Kitchen Appliance Subsidiary（小米廚房電器子公司）
• PUKKA
• Roblox Corporation
• Microsoft
• Motorola
• Qualcomm
• Mediatek
• Bahwan CyberTek
• CryptoSoul
• gms
• ReactMobile
• ЦЭККМП
• Tactical Electronics
• Siasun

“機密和專有”行動

漏洞是由開發人員和逆向工程師Tillie Kottmann收集的，這些洩漏來自各種來源，也來自他們自己對配置錯誤的devops工具的追捕，這些工具可提供對原始碼的訪問。

在GitLab上的公共儲存庫中可以找到大量此類洩漏，這些洩漏的名稱為“機密”，或者更貼切的標籤為“機密和專有”。

據專注於銀行業威脅和欺詐的研究人員Bank Security稱，該資訊庫中釋出了來自50多家公司的程式碼。不過，並非所有資料夾都有內容，但是研究人員說在某些情況下還存在密碼憑據。

Kottmann的伺服器顯示來自金融科技公司（Fiserv，Buczy Payments，Mercury Trade Finance Solutions），銀行（Banca Nazionale del Lavoro），身份和訪問管理開發人員（Pirean Access：One）和遊戲的程式碼。

Kottmann告訴外媒，他們在易於訪問的程式碼儲存庫中找到了硬編碼的憑據，他們  試圖儘可能地將其刪除  ，以防止直接傷害並避免以任何方式造成更大的破壞。

Kottmann告訴外媒：“我會盡力防止釋出中直接導致的任何重大問題。”

開發人員承認，在釋出程式碼之前，他們並不總是與受影響的公司聯絡，但是他們盡了最大的努力使釋出帶來的負面影響最小化。

其他人也參與了這個專案，他們直接或間接地為洩漏做出了貢獻，或者在不清楚的情況下幫助Kottmann更好地理解了他們發現的本質。

要求刪除

Kottmann還表示，他們遵守移除要求，並樂意提供可增強公司基礎架構安全性的資訊。儲存庫中不再存在戴姆勒公司（Daimler AG）在梅賽德斯-賓士品牌背後的洩漏。另一個空資料夾的名稱為Lenovo。

但是，從收到的DMCA通知數量（估計最多7份）以及法律或其他代表的直接聯絡來看，許多公司可能不知道洩漏。

一些注意到其程式碼公開的企業不會費心將其刪除。至少在一個例項中，一家公司的幾名開發人員只是想知道Kottmann是如何獲得程式碼的，並沒有要求刪除，而是希望“有趣”。

更多狩獵

回顧一下在Kottmann的GitLab伺服器上洩漏的一些程式碼，發現某些專案已由其原始開發人員公開發布，或者在很久以前進行了最後更新。

不過，開發人員告訴外媒，有更多公司使用錯誤的devops工具配置了暴露原始碼的公司。此外，他們正在探索執行SonarQube的伺服器，SonarQube是一個開源平臺，用於自動程式碼稽核和靜態分析，以發現錯誤和安全漏洞。

Kottmann相信，有成千上萬的公司由於未能正確保護SonarQube安裝而暴露了專有程式碼。

在Telegram頻道中，開發人員提供了有關其他漏洞的詳細資訊，包括被稱為Gigaleak的Nintendo漏洞，其中 包含原始碼，多個經典遊戲（Super Mario World，取消的Zelda 2重製版，Super Mario 64）的開發倉庫（大量圖形原型）。，《塞爾達傳說：時之笛》。

尚不清楚Kottmann伺服器上的程式碼有多少是私有的保密的。

紅數位將持續關注此事件。