Tata开发人员将银行代码泄露至公共GitHub代码库
食品安全测试企业Tellspec公司CTO兼前银行软件开发者杰森·科尔斯表示,他们在偶然之间发现由位于印度加尔各答的软件开发商Tata公司的员工在公共GitHub代码库当中上传大量涉及金融机构的源代码与内部文件。在归档文件当中,他们发现了开发笔记、原始源代码、Web银行代码开发规划内部报告以及与各外包合作伙伴间的往来通话记录。
这些文件所涉及的源代码与六家大型加拿大银行、两家著名美国金融机构、一家跨国银行以及一家市值达数十亿美元的金融软件厂商有关。利用这些数据,正在着手开发类似功能的竞争企业以及可能利用设计中安全漏洞窃取数百万用户个人信息的网络犯罪分子将获得显著的提示与收益。
科尔斯在上周接受采访时指出,“好消息是,其中并不包括任何银行客户数据,文件内容以辅助数据为主。不过其中仍然存在大量可被利用的素材——除了黑客群体之外,各相关企业的竞争对手还可借此把握前者的运营动态与思路,这无疑是一次巨大的常识性失误。”
这些信息足以引发严重的后续影响……出于安全考虑,我们对所泄露的部分数据的截图进行了编辑。
在泄露问题警告发布之后,各受影响企业本应快速作出反应——然而根据实际情况来看,事实并非如此。目前于加拿大多伦多工作的科尔斯表示,他亲自前往各涉事加拿大银行发出提醒,但对方却选择坐视不理。
相比之下,美国各金融机构的态度则非常积极,据称其已经立即对此采取应对措施。GitHub短时间内即将这批文件进行了删除。Tata公司并没有回应记者提出的评论请求。截至目前,出于安全考虑,受影响客户的具体名称已经被纳入保密范畴。
加拿大不想为信息安全付费?科尔斯在采访当中强调称,他个人对于加拿大各银行的顽固态度并不意外,事实上他多年来一直在发出类似的安全风险提醒,但情况并未出现什么显著改善。
科尔斯表示,加拿大与美国在文化层面存在着巨大差异。加拿大人并不希望为安全信息付费,而他本人当然也不可能以免费方式提供自己的劳动成果。而在美国,科尔斯已经在前往多伦多的同一天在飞机上与多家公司进行了远程会谈,他们乐于购买科尔斯的发现并在当天晚上进一步就问题进行了讨论。
科尔斯曾针对加拿大银行软件出版过一本名为《我的人没出错,我的企业没问题!》的论著,他表示研究结果显示每二十五家加拿大银行当中,就有九家面临着钓鱼攻击风险。
他表示,银行应用“会暴露大量数据——每一项交易会在浏览器上产生40 MB相关信息”。然而,绝大多数手机银行应用都没能付出足够的努力以保护其通信内容。
法裔商业金融房屋置业银行Scotiabank正是科尔斯提到的典型目标之一。根据我们得到的消息,该银行的应用并非始终利用HTTPS进行网络连接。
他总结称,“目前至少有上百万用户在使用不安全的银行应用,因此导致严重后果恐怕将只是时间问题。这样的状况令人忧心:如果再不加以重视,那么最终他们连哭都来不及。”
本文转自d1net(转载)
相关文章
- GitHub 近两万Star,无需编码,可一键生成前后端代码,这个开源项目JeecgBoot有点强
- github简单使用教程
- 【问题解决方案】本地代码文件上传到GitHub里中文乱码问题
- push代码到github
- 用 Github、Markdown 和 GitBook 写开源书
- 【转载】花20分钟写的-大白话讲解如何给github上项目贡献代码
- 【问题解决方案】本地仓库删除远程库后添加到已有github仓库时仓库地址找不到的问题(github仓库SSH地址)
- Git - GitHub
- 【网址收藏】spark on k8s operator github地址
- GitHub 推出了集成了 GPT-4 技术的 Copilot X,它对程序员有哪些积极和消极影响?
- 一个基于Java实现的Github issue图片自动下载工具
- 使用SAP WebIDE往Github上推送代码修改时遇到错误消息 Commit request failed Commit failed. Ref must be HEAD and is HEAD
- 如何在Github网页端处理不同分支之间的冲突
- AI之Tool:GitHub Copilot(一款人工智能编程小助手—猜你想写的代码)的简介、安装、使用方法之详细攻略
- High&NewTech:19.04.22今天GitHub后无来者大事件之【B站后端代码不小心被开源】
- Github 上最大的开源算法库,还能学机器学习
- 如果你依旧对旧版GitHub UI 念念不舍,那么可以试下「Old GitHub UI 」这款插件!
- github进行fetch更新代码
- 一文教会你 如何在Github中创建仓库?如何将多个项目放到一个仓库中管理?如何将本地项目上传到GitHub中?
- liunx 上传 代码到github
- github 创建仓库
- github代码外泄监控——可用来提供源码泄露检测服务,数据泄露场景,原理就是在github搜索关键字
- GIST特征和LMGIST包的python实现(有github)——使用gist特征检测恶意文件
- 【基础知识】11、github上传本地代码
- 怎么找文章的代码?【通过github】