DATA LEAK

Codici sorgente di grandi organizzazioni (tra cui la BNL) trapelati online: quale lezione per tutte le aziende

Un ricercatore svizzero ha diffuso online i codici sorgente di oltre 50 grandi società (tra cui l’italiana BNL): pare ci sia riuscito sfruttando errori di configurazione di alcune applicazioni software usate dai dipendenti per l’accesso ai dati aziendali. Ecco cosa sappiamo (e possiamo imparare) da tutta la faccenda

28 Lug 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Una gran quantità di codici sorgente appartenenti a decine di grandi organizzazioni tra cui Microsoft, Adobe, Qualcomm, Lenovo, Motorola, Nintendo e l’italiana BNL (Banca Nazionale del Lavoro) sono trapelati online dopo essere stati trafugati da uno sviluppatore svizzero che li ha caricati in un repository pubblico su GitLab, rendendoli quindi accessibili a chiunque.

Codici sorgente trapelati online: cos’è successo

Tillie Kottmann, questo il nome dello sviluppatore ed esperto di reverse engineering, ha dichiarato in un post su Twitter di essere riuscito a “raccogliere” questo prezioso tesoretto grazie a configurazioni software errate o ad applicazioni DevOps insicure che hanno lasciato scoperte le preziose informazioni proprietarie.

Sul suo canale Telegram, inoltre, lo sviluppatore ha offerto ulteriori dettagli sulle fughe di notizie, tra cui quella che ha interessato la Nintendo e soprannominata GigaLeak che ha consentito di accedere al codice sorgente e ai repository di sviluppo di famosi videogiochi classici: Super Mario World, un remake di Zelda 2 il cui sviluppo pare sia stato bloccato, Super Mario 64 e The Legend of Zelda: Ocarina of Time.

Tra i codici sorgente appartenenti alla Nintendo ci sono anche anche versioni pre-release di nuovi giochi, prototipi completamente giocabili e persino riferimenti a progetti che non sono mai stati completati.

La gravità della faccenda sta nel fatto che alcune aziende (nei più disparati campi di attività: tecnologico, finanziario, del commercio al dettaglio, e-commerce e alimentare) potrebbero non essere ancora a conoscenza della massiccia fuga di notizie.

La buona notizia, invece, è che Kottmann pare abbia rimosso le cosiddette credenziali hardcoded dai repository per prevenire danni diretti alle organizzazioni ed evitare di contribuire in qualche modo a una violazione più grande di dati riservati.

La lezione da imparare per tutte le aziende

Tutta la faccenda dei codici sorgente trapelati online dimostra ancora una volta quanta poca attenzione le aziende, sebbene siano sempre più data driven, pongano nella gestione della cyber security e nel proteggere adeguatamente il proprio patrimonio informativo.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Cloud storage

Lo stesso Kottmann, comunque, si è reso disponibile a fornire informazioni che potrebbero aiutare le aziende stesse a rafforzare la sicurezza delle proprie infrastrutture e dei sistemi informatici.

E, a quanto pare, alcune hanno accettato questo inaspettato aiuto. Dai repository, infatti, sono state cancellate alcune informazioni riservate appartenenti alla Daimler AG, proprietaria del marchio Mercedes-Benz. Così come vuota risulta essere anche un’altra cartella che fa riferimento a Lenovo.

Curiosamente, invece, fa sapere sempre Kottmann, altre aziende hanno semplicemente preso atto del fatto che il loro codice sorgente è diventato di dominio pubblico senza preoccuparsi di rimuoverlo. Anzi, in alcuni casi gli sviluppatori delle aziende interessate dalla fuga di notizie hanno semplicemente chiesto informazioni su come avesse ottenuto il codice e addirittura qualcuno gli avrebbe anche augurato un “buon divertimento”. In realtà, da un’analisi attenda dei repository pubblicati da Kottmann si evince che alcuni dei progetti trapelati su GitLab sono già stati resi pubblici dal loro sviluppatore originale oppure non vengono più aggiornati da parecchio tempo.

C’è da dire, comunque, che la gravità della scoperta di Kottmann potrebbe essere mitigata dal fatto che la maggior parte del codice sorgente non ha alcun valore se non si dispone anche di altre tecnologia che consentano di gestirlo e di farlo funzionare.

Il codice sorgente, inoltre, richiede un supporto e un aggiornamento continuo per mantenere il proprio “valore industriale”. È improbabile, quindi, che i criminal hacker abbiano interesse a sfruttare i repository pubblicati da Kottmann per scopi di cyber spionaggio, ma tutte la aziende, anche quelle non interessate dalla fuga di notizie, farebbero comunque bene a non abbassare mai la guardia quando si parla di protezione del proprio perimetro di sicurezza e del prezioso patrimonio informativo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5