事件一

梅德賽斯-賓士中安裝的“智慧汽車”元件原始碼被洩露在網上。

研究人員發現賓士品牌所屬主體戴姆勒股份公司 （Daimler AG） 的一個 Git web 門戶。他指出，自己能夠在戴姆勒的程式碼託管門戶上註冊一個賬戶，之後下載包含車載邏輯單元 （OLUs） 原始碼的580多個 Git 倉庫。

研究人員查看了其中一些遭洩露的 Git 倉庫，結果發現所檢視的檔案中均未包含任何開源許可，表明這是並不打算公開的專有程式碼資訊。被洩露專案不僅包括賓士 OLU 元件的原始碼，而且還包括 Raspberry Pi 映象、伺服器映象、用於管理遠端 OLUs 的內部戴姆勒元件、內部文件、程式碼樣本等等的原始碼。

雖然剛開始這些原始碼洩露看似無害，但威脅情報公司 Under the Breach 檢視該資料後認為，他們發現了戴姆勒內部系統的密碼和 API 令牌。這些密碼和訪問令牌如落入不法之徒手中可被用於攻擊戴姆勒雲和內部網路。戴姆勒公司收到通知後撤掉研究人員用於下載該資料的 GitLab 伺服器。

事件二

此前，有位匿名使用者在美國論壇4chan中，陸陸續續上傳了大量任天堂內部檔案。此外，Youtube博主Sebastian也整理了類似N64遊戲的Demo。

Resetera網站使用者Atheerios密切關注了此次事件，他認為，所有的資料、檔案都直接從一家和任天堂合作的公司（BroadOn）內部竊取。

駭客透過攻擊BroadOn伺服器，獲得了Wii主機的所有原始碼、資料表、設計框圖以及每一個配件的Verilog檔案（Verilog是一種硬體描述語言）。

據 Resetera 網友的最新爆料，目前 3DS 作業系統的完整原始碼已經流傳到了網上。

這次的洩露雖然沒有包含設計文件，不過包含了許多有趣的開發檔案。比方說根據 Log 檔案中的引用，NVIDIA 看起來在 2006 年時就曾參與到了 3DS 的開發中，其他洩露的檔案目錄可以參見此處。考慮到 3DS 目前仍未淘汰，同時NS 作業系統也是基於 3DS 作業系統，此次洩露的影響恐怕更為嚴重。

除此之外，《寶可夢：珍珠/鑽石》的原始碼也洩露到了網上，不過此次洩露中沒有出現新的寶可夢原型。部分玩家和媒體猜測，洩露者的手中可能還掌握了更多資料。

GDCA數安時代建議相關企業重視原始碼洩露問題，特別是一些軟體開發公司，不法分子也可能利用洩露的原始碼中的已知漏洞來進行滲透，發起攻擊。保護好自己的核心資料，需為原始碼做好基礎的安全保護措施。

01 / 部署程式碼簽名證書

程式碼簽名證書是對可執行程式和指令碼進行數字簽名的過程，以確認軟體作者的身份，並確保程式碼自簽名以來沒有被修改或損壞。為了對程式碼進行簽名，軟體釋出者需要生成一個私有公鑰對，並將公鑰提交給CA，同時發出程式碼簽名證書的請求。CA驗證釋出者的身份，並驗證釋出者的數字簽名證書請求。如果這個稽核和金鑰驗證過程成功，CA將頒發程式碼簽名證書。

有了程式碼簽名證書，釋出者就可以簽署程式碼了。當代碼被簽名時，一些資訊被新增到包含可執行程式碼的原始檔案中，軟體釋出方的使用者使用這些繫結的資訊對釋出方進行身份驗證，並檢查程式碼簽名是否被篡改。

02 / 嚴格管理內部業務許可權

在開發人員分級許可權的基礎上，增加資料儲存及傳輸加密功能；必須重視內部許可權管理，包括資料庫、伺服器、後臺等各種關係公司核心資產的許可權；必要時建議開始雙重驗證，這樣可以最大程度避免一個員工的誤操作或惡意行為；日誌審計功能可追溯程式碼洩露問題。

據著名國際諮詢服務公司Willis Towers Watson的網路保險理賠資料顯示，2/3的網路安全問題是由於員工疏忽和瀆職而直接或間接造成的。相較之下，僅有18%的網路安全問題是由外部威脅直接引發的。程式碼洩露問題往往來自內部以及離職員工。

03 / 安全意識培訓

在加強許可權管理的同時，各大公司需要對員工做安全培訓，簽訂保密協議，為開發人員配備兩臺電腦，用於開發的電腦不能與外界交換資料。若沒有自己的安全團隊，可以選擇第三方專業安全公司提供的安全服務，為企業做資料安全隔離建設。