Snapchat不仅会让消息在一段时间后消失。它也对GitHub做同样的事情 存储库 - 特别是当它们包含公司的专有源代码时。
所以发生了什么事?好吧,让我们从头开始吧。带有handle i5xx的GitHub ,据信来自巴基斯坦东南部Sindh省的Tando Bago村,创建了一个名为Source-Snapchat的GitHub存储库。
在撰写本文时,GitHub已根据Snap Inc的DMCA请求删除了回购(我们稍后会介绍),因此我们无法仔细查看它包含的内容。也就是说,它的内容有一些线索。
您在访问回购时看到的内容。
该存储库具有“SnapChat源代码”的描述,并使用Apple的Objective-C编程语言编写。这强烈暗示回购包含公司iOS应用程序的部分或全部,尽管我们无法确定。它可以很容易地成为服务的一个小组件,也可以是公司的一个单独项目。
发布泄露的Snapchat代码的人的身份还有另外两条线索。
根据i5xx GitHub帐户,他的名字是Khaled Alshehri。然而,这应该是一粒盐。对于初学者来说,没有什么能阻止用户列出假名。此外,根据TNW的几个人 已经说过,姓氏“Alshehri”在巴基斯坦并不常见。
该简介还链接到沙特阿拉伯的在线业务,提供从安全扫描和iCloud删除到软件开发和iTunes礼品卡销售的各种技术服务。
四天前,GitHub发布了一份来自Snap Inc.的DMCA 移除请求,尽管该请求很可能是在很早之前提交的。与许多其他技术巨头(包括谷歌)一样,GitHub 从透明度的角度发布有关DMCA删除请求的信息。
DMCA请求中使用的语言非常吸引人,并且在组织中传达了一种真正的恐慌感,这反过来表明存储库的内容是合法的。该请求不是使用正式的法律术语,而是主要用全部大写字母书写。
关于“ 请提供据称被侵权的原始版权作品的详细说明 ”的问题。如果可能的话,包括一个在线发布的URL,“Snap Inc代表写道:
“SNAPCHAT SOURCE CODE。它被泄漏了,用户已经把它放在这个GITHUB REPO中了。没有任何网址可以指出SNAP INC。不会公开发布。“
这个传奇中最引人入胜的部分是泄漏似乎并不是恶意的,而是来自一位研究人员,他发现了一些东西,却无法将他的发现传达给公司。
根据一个被认为属于i5xx 的Twitter账号中的几个帖子,研究人员试图联系SnapChat,但没有成功。
“我们试图与你沟通但没有成功的问题因为我们决定[原文如此]部署源代码,”i5xx写道。
该帐户还威胁要重新上传源代码。“我会再发一次,直到你回复:),”他说。
我们尝试与您沟通但未成功的问题 我们决定 部署源代码 我会再次发布,直到您回复:) @snapchatsupport @Sn polyester https://t.co/aB58eOjGLE - خالدالشهري#The Legend(@ i5aaaald)2018年8月4日
对于它的价值,安全研究人员很容易与Snap Inc.取得联系。该公司在HackerOne上有一个活跃的账户,它运行一个bug赏金计划,并且响应速度极快。
根据HackerOne的官方统计数据,该网站在12小时内回复了初步报告,并已支付超过220,000美元的奖金。
Snap Inc明确表示,它会根据严重程度奖励研究人员。我想这家公司的内部信息安全团队会将泄漏的源代码视为一个相当关键的安全问题。
另一件特别有趣的事情是,它似乎源代码在被删除之前很长一段时间保持在线状态。I5xx的提交历史记录显示了18个提交,所有提交都发生在5月23日到24日之间,并且属于同一个存储库。
正如我所提到的,GitHub四天前发布了Snap的删除请求。这表明该存储库可能在线超过两个月。
TNW已经联系Snap发表评论。如果我们收到公司的回复,我们会更新这篇文章。
领取专属 10元无门槛券
私享最新 技术干货