Problema
Questa mattina ho scoperto che, quello che pensavo fosse uno dei nostri artefatti proprietari, era stato pubblicato su un archivio pubblico:
Se fai clic sul link, vedi che ci sono tonnellate di artefatti di aziende come Adobe, Amazon, AOL, BP, ... almeno alcuni dei quali non sembrano destinati al pubblico.
Navigazione verso il basso e il download di qualsiasi artefatto, ad esempio
produce sempre un file identico di 1.33kb che in realtà non è un artefatto software ma un file HTML e che è stato pubblicato per la prima volta nel repository circa 170 giorni fa.
Ciò che è strano è che questo repository dovrebbe essere un mirror / cache di un altro repository, ma questo altro repository in realtà non contiene queste risorse,
La situazione non sembra essere così grave come pensavo, dal momento che nessuna proprietà intellettuale sembra essere stata trapelata, ma nessuno sarà davvero contento di avere i loro nomi di progetti interni pubblici.
Domanda
Puoi aiutarmi a dare un senso a questo? Potrebbe essere solo un bug in una versione della shell Gradle o in Artifactory? Potrebbe essere un malware collegato?