Twitter源代碼遭員工泄露

  網絡滲透測試     |      2023-03-31 03:07

據《紐約時報》報道,Twitter(推特)的源代碼被心懷不滿的離職員工在GitHub平臺泄露長達數月才被刪除。上周五Twitter向GitHub發出DMCA侵權通知,要求該平臺刪除Twitter的專有源代碼和內部工具,因為泄露的源代碼包含安全漏洞,攻擊者可提取用戶數據甚至關閉Twitter,這對Twitter構成嚴重安全風險。

提桶跑路?

根據DMCA通知,泄露者使用了“FreeSpeechEnthusiast”(自由言論狂熱者)的化名,而Twitter首席執行官埃隆·馬斯克聲稱自己是言論自由絕對主義者,這側面印證了泄露者是一名對馬斯克不滿的Twitter員工。據悉Twitter內部調查已經開始,一名知情員工向《紐約時報》透露,泄漏源代碼的員工于去年離開公司。自馬斯克去年入主Twitter以來,約75%的Twitter員工(7500人)被解雇或辭職。據報道,雖然目前尚不清楚代碼泄露的具體時間,但“至少在幾個月前就已經公開了”。作為版權侵權訴訟的和解條件,Twitter要求GitHub提供泄露代碼在GitHub的訪問歷史信息,這可能有助于確定誰下載或復制了該代碼。Twitter向GitHub發出的DMCA通知中寫道:“在從Github中刪除所有侵權內容之前,請保留并提供任何相關的上傳/下載/訪問歷史記錄(以及與此相關的任何聯系信息、IP地址或其他會話信息),以及與此代碼庫或其任何fork相關的任何關聯日志?!?/span>泄漏者的GitHub帳戶仍然有效,但不再有任何公共代碼庫。賬戶的歷史活動記錄顯示,該用戶的第一次貢獻是在1月3日。Twitter現在正試圖使用傳票來強迫GitHub提供關于用戶“FreeSpeechEnthusiasm”以及任何訪問和分發Twitter泄露源代碼的人的身份信息,以便采取進一步的法律行動。

推文推薦代碼將開源

馬斯克是開源的狂熱愛好者和踐行者,排除安全和版權方面的顧慮,源碼泄露事件對于Twitter的影響有限。事實上,馬斯克已經有計劃將Twitter最核心的代碼——推薦算法開源。推薦算法是一個社交平臺的核心資產,馬斯克在3月18日曾公開表示將在3月31日公開Twitter的推薦算法代碼。馬斯克在個人的Twitter賬號中發推文指出:“我們的算法過于復雜,內部人員都不能完全理解。(代碼開源后)人們會發現許多代碼中愚蠢的錯誤,我們的工程師將修補它們。Twitter正在開發一種簡化的算法來提供更引人注目的推文,這也將是開源的?!?/span>“提高代碼透明度一開始可能會令人尷尬,但最終將快速提高推薦質量。最重要的是,我們希望贏得用戶的信任?!瘪R斯克補充道。目前尚不清楚離職Twitter員工泄露的代碼是否也包含即將開源的推薦代碼。參考鏈接:https://www.nytimes.com/2023/03/26/technology/twitter-source-code-leak.html

原文來源:GoUpSec

“投稿聯系方式:孫中豪 010-82992251   sunzhonghao@cert.org.cn”