Хакеры похитили исходные коды у правительственных учреждений и компаний в США
Федеральное бюро расследований (ФБР) выпустило экстренное предупреждение о хакерах, похитивших данные правительственных агентств США и корпоративных организаций через доступные в Сети и неправильно настроенные установки SonarQube*.
По словам представителей ФБР, в настоящее время зафиксировано несколько подобных инцидентов, в рамках которых злоумышленники активно злоупотребляли уязвимостями конфигурации SonarQube с момента начала атак. Неправильно настроенные серверы SonarQube активно эксплуатируются злоумышленниками с апреля 2020 года для получения доступа к репозиториям исходного кода данных, принадлежащих как государственным, так и корпоративным организациям.
«Начиная с апреля 2020 года ФБР обнаружило утечки исходного кода, связанные с SonarQube, из правительственных агентств США и частных американских компаний в сферах технологий, финансов, розничной торговли, продуктов питания, электронной коммерции и производства», – говорится в сообщении ФБР.
Исследователь безопасности Тилли Коттманн собрала и опубликовала утекшие данные более чем 50 компаний, включая Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (принадлежит Huawei), Mediatek, GE Appliances, Nintendo, Roblox и Disney в открытом репозитории на GitLab.
По словам Т. Коттманн, существуют тысячи компаний, которые раскрывают проприетарный исходный код, не сумев должным образом защитить свои установки SonarQube.
*SonarQube – платформа с открытым исходным кодом для автоматического аудита качества кода и статического анализа с целью обнаружения ошибок и уязвимостей в проектах с использованием 27 языков программирования.