A BetaArchive.com weboldal a szoftverek béta változatainak gyűjtőit tömöríti, és a béta verziós vagy abandonware (fejlesztőik által már elhagyott) szoftverek egyik legnagyobb gyűjtői oldalának számít. A hétvégén kiderült, hogy a site-ra összesen 32 terabájtnyi hivatalos, nem a nyilvánosságnak szánt Windows 10 telepítő lemezkép került fel. A kiszivárgott kód 2017. márciusi állapotokat rögzít.

Egy részét már eltüntették

Az engedély nélkül külső félhez kikerült forrás a Microsoft Shared Source Kit részét képezi, ami többek között tartalmazza a Windows 10 hardveres meghajtóprogramjainak, PnP kódjainak, USB és Wi-Fi stackjeinek kódját, tároló drivereket és az ARM-alapú OneCore kernelkódjánek bizonyos részeit. Az esetről elsőként beszámoló The Register olyan forrásoktól szerezte információit, akiknek volt lehetősége betekinteni a nyilvánosságra került kódsorokba.

A felfedezés eltelt időszakban a Beta Archive 1,2 terabájtnyi Windows 10-es forráskódot távolított el site-járól. A szolgáltatás üzemeltetője beismerte, hogy FTP-szerverén valóban létezett egy Shared Source Kit nevű mappa egészen addig, amíg a The Register cikke meg nem jelent. Ezt követően viszont letörölték, és egészen addig nem is tervezik helyreállítani, amíg alaposan át nem vizsgálják a benne levő adatokat, és meg nem győződnek arról, hogy a mappában található információ megfelel saját szabályzatuknak, és így közzétehető.

Vizsgálatunk megerősítette, hogy ezek az állományok a Shared Source Initiative-tól származó, OEM-ek és partnereink által használt kód részét képezik – olvasható a Microsoft közleményében. Redmond ezen a kezdeményezésén keresztül licenceli különböző termékeinek forráskódjait kiemelt ügyfeleiknek, kormányzatoknak és fontos partnereinek. Az információmegosztással egyrészt biztosítható a hibák könnyebb megkeresése, másrészt referenciacélokat is szolgál.

A The Verge információi szerint ugyan csak most pattant ki a botrány, de a forrás egy része már jó ideje elérhető volt nyilvánosan. Az állományok java hónapok vagy akár évek óta hozzáférhető volt, állítja a beszámoló.

Letartóztatások Nagy-Britanniában

Egyes jelentések szerint a forráskód átböngészésével felmérhető sebezhetőségek csak korlátozott veszélyt jelentenek, a kiszivárgott kód természete miatt. Más riportok viszont úgy vélik, nagyobb problémát okoz a mostani esemény, mint anno a Windows 2000 forrásának 2004-es nyilvánosságra kerülése.

Érdekesség, hogy a forrás kiszivárgása szinte rögtön annak a két embernek Nagy-Britanniában történt letartóztatása után következett be, akiket különböző Microsoft rendszerekbe való betörésének és ügyféladatok lopásának kísérletével vádolnak. Egyelőre nem tudni, hogy a két eset között van-e összefüggés.

Mindazonáltal említést érdemel, hogy nem csak a Microsoftot érintik időről-időre váratlanul az ilyen incidensek. 2013-ban például az Adobe egyes termékeinek – többek között az Acrobatnak, a ColdFusionnek és a ColdFusion Buildernek – a forráskódja szivárgott ki.