Weiteres Github-Repository mit Navi-Quellcode aufgetaucht (Update)

Veröffentlicht am: von

amd-naviEnde Dezember des vergangenen Jahres tauchte ein umfangreiches Github-Repository auf, welches zahlreiche Details zu den Custom-Prozessoren von AMD enthielt, die in den Next-Gen-Konsolen zum Einsatz kommen. Inzwischen haben Microsoft und Sony die technischen Details zur Xbox Series X und PlayStation 5 enthüllt und die im Dezember öffentlich gemachten Angaben werden weitestgehend bestätigt.

Nun gab es offenbar eine weitere Lücke. Wieder wurde ein Teil eines Quellcodes auf Github veröffentlicht. Doch dieses mal hat AMD offenbar schnell reagiert und die Informationen via Digital Millennium Copyright Act (DMCA) offline nehmen lassen. Laut AMD handelt es sich um geschütztes geistiges Eigentum:

"This repository contains intellectual property owned by and stolen from AMD. The original IP is held privately and was stolen from AMD."

Das neuerliche Leak sei nur ein Teil eines Quellcodes. TorrentFreak hat sich mit der Quelle in Verbindung gesetzt. Es soll sich um die gleiche Quelle handeln, die schon im Dezember die Veröffentlichung auf Github tätigte. Offenbar hat AMD die damalige Lücke nicht geschlossen oder war sich dieser nicht bewusst:

"In November 2019, I found AMD Navi GPU hardware source codes in a hacked computer. The user didn’t take any effective action against the leak of the codes. (...) The source code was unexpectedly achieved from an unprotected computer//server through some exploits. I later found out about the files inside it. They weren’t even protected properly or even encrypted with anything which is just sad."

Die Daten hätten ungeschützt auf einem Rechner oder Server bei AMD gelegen. Die Dateien seien in keiner Art und Weise geschützt gewesen. Dies ist aber natürlich noch immer kein Grund die Informationen auch zu veröffentlichen. Schon das Eindringen in Systeme, auch wenn sie ungeschützt sind, ist strafbar.

» zur Galerie

Die Quelle hätte AMD darüber natürlich informieren können – ganz nach dem "Responsible Disclosure"-Verfahren. Davon hat man aber offenbar abgesehen.

"I haven’t spoken to AMD about it because I am pretty sure that instead of accepting their mistake and moving on, they will try to sue me. So why not just leak it to everyone?"

Den weitaus größeren Teil des Leaks hält die Quelle offenbar noch zurück. Diese will er verkaufen und etwa 100 Millionen US-Dollar erzielen. Ob die Daten 100 Millionen US-Dollar wert sind, lässt sich nur schwer sagen. Diese Frage wird wohl nur AMD beantworten können. Aufgrund der schnellen Reaktion von AMD ist aber davon auszugehen, dass man die Daten nicht in der Öffentlichkeit sehen will.

"If I get no buyer I will just leak everything."

So die Drohung seitens der Quelle.

1. Update: Statement von AMD

AMD hat ein Statement zum vermeintlichen Datendiebstahl veröffentlicht.

"At AMD, data security and the protection of our intellectual property are a priority. In December 2019, we were contacted by someone who claimed to have test files related to a subset of our current and future graphics products, some of which were recently posted online, but have since been taken down.

While we are aware the perpetrator has additional files that have not been made public, we believe the stolen graphics IP is not core to the competitiveness or security of our graphics products. We are not aware of the perpetrator possessing any other AMD IP.

We are working closely with law enforcement officials and other experts as a part of an ongoing criminal investigation."

Demnach geht AMD nicht davon aus, dass die gestohlenen Daten die Sicherheit der Produkte oder aber die Wettbewerbsfähigkeit von AMD beeinflussen werden.

2. Update

Die Quelle hat einige weitere Informationen zum zweiten Teil der Daten veröffentlicht, die ihm vorliegen sollen. Dabei handelt es sich offenbar um mehrere komprimierte Ordner zum Custom-Prozessor Arden für die Xbox Series X, aber auch zu Navi 10 und Navi 21. Damit möchte er offenbar beweisen, dass er in Besitz weiterer Informationen ist.

In dem eröffneten Github-Repository stellt er zudem die Bedingungen an AMD oder jeden, der die Dateien kaufen möchte.

» zur Galerie