5月6日,據外媒BleepingComputer報道,有一名黑客聲稱自己從微軟的GitHub私有存儲庫竊取了500GB數據。
據悉,這名黑客叫Shiny Hunters,他宣稱入侵了微軟的GitHub賬戶,並完全訪問了這家軟件巨頭的私有存儲庫。同時,他還下載了該賬戶上近500GB的私有項目。數據到手後,他最初打算直接賣掉,但是後來改變主意,Shiny Hunters決定直接泄露這些數據。
泄露文件全部目錄的文件戳記表明,泄露事件可能發生於2020年3月28日。
據悉,作爲預熱,Shiny Hunters在一個黑客論壇提供了1GB文件,論壇註冊用戶則可以利用論壇信用分獲取該數據。而網絡安全情報公司Under the Breach也在黑客論壇上發現泄漏事件,併發布推文:
重磅消息!最近入侵過Tokopedia的黑客,他宣稱自己有500GB的微軟私有存儲庫源代碼,其中大部分包含Azure源代碼、以及Office和一些Windows運行時文件/API。
黑客是從微軟的GitHub私有存儲庫竊取的這些數據。
通過研究泄漏數據,有一些泄露文件被發現包含中文或引用了latelee.org。不過,盜竊的大部分文件看起來像代碼樣本、測試項目、電子書和其他常規項目。並且,黑客論壇上的其他黑客對該數據的真實性存疑。
而一些私有存儲庫看上去更令人感興趣,其中一些被命名爲“wssd cloud agent”、“The Rust/WinRT language projection”和“PowerSweep”的PowerShell項目。
大體上,展示出來的泄露數據顯然意義不大,因爲它並不包含軟件(像Windows或Office)的敏感代碼。因此,微軟不用爲此感到擔憂。
針對泄露事件,一名叫Nirmal Guru在網友稱,“泄露的數據是真的,但是沒有用處,微軟GitHub賬戶下的所有私有存儲庫意味着都是公開的。即使它們現在是私有的,最終它們會被公開。最重要的是AzureDevOps組織賬戶!”
不過,網絡安全情報公司Under the Breach擔心的是,像過去有些開發者一樣,私有API密鑰或密碼可能意外地遺留在一些私有存儲庫中。
關於500GB數據的真實性問題,ZDNet則報道經過和微軟多名員工確認得知,至少竊取文件中的有一小部分是真實的。不過,該媒體被告知:黑客並未獲取到微軟任何主要核心項目的源代碼,比如Windows或Office。
目前,已經有微軟員工發佈推文,確認了泄露事件的真實性。而在此前,有微軟員工公開評論泄露事件是假的,但之後他們又刪除了自己的推文。
目前,微軟正在對泄露事件進行調查。
值得注意的是,此次入侵微軟GitHub賬戶的黑客Shiny Hunters是最近印尼電商平臺Tokopedia數據泄露的始作俑者。他在黑客論壇上出售9100萬Tokopedia賬戶數據,標價5000美元。
糟糕的是,泄露的數據包含用戶全名、電子郵件、電話號碼、哈希密碼、生日以及與Tokopedia個人資料相關的詳細信息(帳戶創建日期、上次登錄名、電子郵件激活碼、密碼重置代碼、位置詳細信息、Messenger ID、愛好、教育等)。目前,這個數據庫已經被賣了2次。