谷歌、苹果、索尼、育碧、动视暴雪……这些全球知名的游戏公司，其热门游戏的源代码竟意外曝光！此次事件涉及的不仅仅是简单的代码片段，而是完整的游戏源码，横跨多个平台和题材，堪称一次游戏界的革命。

据了解，黑客已经将这些游戏源码都发布在了GitLab上，任何人都可以轻松访问。没错，就是那家全球第二大开源代码托管平台，谷歌重金投资加持的开源独角兽。

“隐秘的内部宝藏”，究竟是如何泄露出的？这些泄漏的游戏源码由知名安全研究员TillieKottamann收集。据专注于游戏安全的GameSecrity统计，GitLab公开存储库中有5多家公司的相关源代码。

其中一家涉事公司teamapt随即进行了调查，发现他们泄露的游戏源码主要是驻留在游戏的框架代码上的内容。△Kottamann公开的一段游戏开发代码该公司声明，这些源码中不包含任何敏感数据，不会对用户造成安全风险。

TillieKottamann也对技术网站BLeepingCompter表示，这个公开存储库中很多源码暴露的原因，是其公司使用了配置错误的DevOps工具。另外，他们还对开源平台SonarQbe的服务器进行了探索。

SonarQbe能够自动代码审核和静态分析服务，以帮助开发者发现代码错误和安全漏洞。Kottamann指出，有成千上万的公司因未能妥善确保SonarQbe的安全使用，而招致源码泄露的风险。

另外，在其Telegram频道中，Kottamann还提供了有关其他游戏安全漏洞的详细信息，包括被称作Gigaleak的一系列任天堂游戏外泄代码——含有《塞尔达传说：荒野之息》、《超级马里奥奥德赛》等经典游戏信息。

部分含有硬编码认证凭据，黑客：会先删掉任天堂外泄的游戏源码也引发了游戏界的关注。网络安全专家、知名电脑安全软件公司ESET发言人JakeMoore就指出：源码的公开，可能会导致网络攻击者更容易窃取到公司的内部机密信息。

而GameSecrity也表示，这些源代码里有一部分会包含硬编码的认证凭据。这就相当于把你家大门的钥匙丢到了攻击者面前，攻击者拿到硬编码的认证凭据后攻击成本会更低。

对此，Kottamann做出回应称，他们在发布这些源码时，尽量排查并删除了其中存储的硬编码认证凭据，以防止直接对这些公司造成伤害，引起更大的破坏。

不过，他也承认，在公布这些源码之前，他们并不总事先与受影响的公司通气。例如，谷歌要求删除其游戏源码，而索尼则对此事件表示不在意。

TillieKottamann还对BLeepingCompter表示，如果公司要求删除源码，他们愿意接受，并乐意提供能够帮助这些公司增强基础架构安全性的信息。比如，现在存储库中就不再存有谷歌的外泄游戏源码。

但也有一些知道自家源码泄漏的企业并没有要求撤下源码。他们比较关心Kottamann是如何获取了这些源码，并表示这“很有趣”。

另外，TillieKottamann指出，从收到的DMC删除通知数量，以及这些企业的代表同他直接联系的数量来看，目前一些企业可能尚不知晓其源码已经泄露。

最后，附上GameSecrity统计的完整名单。

Microsoft, Sony, Nintendo, Ubisoft, EA, Activision, Tencent, Bilibili, NetEase, Niantic, Take-Two Interactive, WarnerMedia, Glu Mobile, Scopely, Supercell, Machine Zone, Wargaming, Smurf.io, 8dots, Rovio, Gameloft, Zenimax Online Studios, Square Enix, Klab Games, Bandai Namco Entertainment, Sega, Atari, CCP Games, Frontier Developments, CD Projekt Red, Blizzard Entertainment, Epic Games, IO Interactive, FromSoftware, Nihon Falcom, GungHo Online Entertainment, Mixi, Com2us, Glu Mobile, FunPlus, Big Fish Games, Game Insight, Playrix, MY.com, Kabam, SEGA, Gree, Social Giant, Gamevil, LILY, Devolver Digital, Rovio Entertainment, Square Enix, CD Projekt Red, Warner Bros. Interactive Entertainment, Electronic Arts, Take-Two Interactive Software, Ubisoft, Koch Media, Activision Blizzard, Capcom, Sega Sammy Holdings.

参考链接：https://www.bleepingcomputer.com/news/security/source-code-from dozens-of-companies-leaked-online/

—完—游戏星球QbitI•头条号签约作者关注我们，第一时间获知前沿科技动态