更新:安全媒体ZDNet得到多名微软员工确认,至少部分泄露数据是真实的,但没有涉及微软核心项目比如Windows、Office。这类项目通常只在内部托管,不会放到GitHub上来。

根据安全媒体BleeppingComputer报道,就在前两天,一名黑客声称自己成功入侵了微软的隐私GitHub库,并从中窃取了超过500GB的数据。

微软公司尚未就该漏洞事件公开发表评论,这似乎并没有影响到该公司任何主要软件产品。

在此攻击事件发生之后,以为自称名叫“Shiny Hunters”的黑客与BleepingComputer联系,并告知称他已经成功入侵了微软的GitHub账号,而且成功获取到了其私有GitHub库的完整访问权。

为了证明自己已成功入侵,这名名攻击者还向媒体提供了自己攻击成功的界面截图:

这名攻击者表示,他成功入侵微软的隐私GitHub库之后,下载了超过500GB的项目代码,一开始他是打算把这些代码卖掉的,不过现在他打算免费公布给大家。根据公布的泄露文件文件时间戳,入侵行为貌似发生在2020年的3月28日。泄露文件列表所显示的文件时间戳如下图所示:

“Shiny Hunters”向BleepingComputer表示,在成功入侵并下载了相关源码之后,他就再也没有访问过微软的GitHub库了。

微软私有库代码泄露

为了吸引社区人员的注意,这名攻击者还专门在一个黑客论坛上发布了1GB的泄露文件,以供网站的注册用户访问泄露数据。

由于其中的部分泄露文件中包含了中文文本或指向latelee.org的引用链接,因此论坛上的某些用户对此次泄露数据的真实性表示怀疑。

在该名攻击者发送给BleepingComputer的目录列表以及其他隐私库样本中,被盗的数据大多数都是代码样例、测试项目以及一个电子书和其他的通用项。

但是,其中也有一些私有代码库看起来也比较有趣,比如说有一些命名为“wssd cloud agent”、“The Rust/WinRT language projection”,还有一个名叫“PowerSweep”的PowerShell项目。

总的来说,从攻击者共享出来的内容来看,微软似乎并没有什么需要担心的,因为这里没有涉及到Windows或Office的源代码。

除此之外,很多在黑客论坛上看到泄露数据的网络情报公司也认为,微软并不需要对此次事件有过多的担心。

但是,微软方面处于安全考虑,确实需要对此次事件表示担心,因为有些开发人员可能会像之前那样不小心把私有API密钥或其他隐私密码留在了一些私有代码库中。微软公司的员工Sam Smith则通过推文回应称,他个人认为此次泄露事件是伪造的,因为微软有一个所谓“不成文的规则”,就是GitHub库必须在30天内公开。

但无论此次事件是真是假,目前普遍的共识是并没有对微软有什么影响。如果泄露属实,最迫切的关注点是黑客如何取得访问权限的。

在此次事件被曝光之后,BleepingComputer已与微软方面取得了联系,以确认这些文件是否合法,但尚未收到微软方面的回复。

原文地址:https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/

声明:本文来自安全客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。