写点什么

黑客盗走微软 GitHub 500GB 数据,不卖直接泄露

  • 2020-05-09
  • 本文字数:1172 字

    阅读完需:约 4 分钟

黑客盗走微软GitHub 500GB数据,不卖直接泄露


5 月 6 日,据外媒 BleepingComputer报道,有一名黑客声称自己从微软的 GitHub 私有存储库窃取了 500GB 数据。


据悉,这名黑客叫 Shiny Hunters,他宣称入侵了微软的 GitHub 账户,并完全访问了这家软件巨头的私有存储库。同时,他还下载了该账户上近 500GB 的私有项目。数据到手后,他最初打算直接卖掉,但是后来改变主意,Shiny Hunters 决定直接泄露这些数据。



泄露文件全部目录的文件戳记表明,泄露事件可能发生于 2020 年 3 月 28 日。



据悉,作为预热,Shiny Hunters 在一个黑客论坛提供了 1GB 文件,论坛注册用户则可以利用论坛信用分获取该数据。而网络安全情报公司Under the Breach也在黑客论坛上发现泄漏事件,并发布推文:


重磅消息!最近入侵过 Tokopedia 的黑客,他宣称自己有 500GB 的微软私有存储库源代码,其中大部分包含 Azure 源代码、以及 Office 和一些 Windows 运行时文件/API。

黑客是从微软的 GitHub 私有存储库窃取的这些数据。



通过研究泄漏数据,有一些泄露文件被发现包含中文或引用了 latelee.org。不过,盗窃的大部分文件看起来像代码样本、测试项目、电子书和其他常规项目。并且,黑客论坛上的其他黑客对该数据的真实性存疑。


而一些私有存储库看上去更令人感兴趣,其中一些被命名为“wssd cloud agent”、“The Rust/WinRT language projection”和“PowerSweep”的 PowerShell 项目。


大体上,展示出来的泄露数据显然意义不大,因为它并不包含软件(像 Windows 或 Office)的敏感代码。因此,微软不用为此感到担忧。


针对泄露事件,一名叫 Nirmal Guru 在网友称,“泄露的数据是真的,但是没有用处,微软 GitHub 账户下的所有私有存储库意味着都是公开的。即使它们现在是私有的,最终它们会被公开。最重要的是 AzureDevOps 组织账户!”


不过,网络安全情报公司 Under the Breach 担心的是,像过去有些开发者一样,私有 API 密钥或密码可能意外地遗留在一些私有存储库中。



关于 500GB 数据的真实性问题,ZDNet 则报道经过和微软多名员工确认得知,至少窃取文件中的有一小部分是真实的。不过,该媒体被告知:黑客并未获取到微软任何主要核心项目的源代码,比如 Windows 或 Office。


目前,已经有微软员工发布推文,确认了泄露事件的真实性。而在此前,有微软员工公开评论泄露事件是假的,但之后他们又删除了自己的推文。



目前,微软正在对泄露事件进行调查。


值得注意的是,此次入侵微软 GitHub 账户的黑客 Shiny Hunters 是最近印尼电商平台Tokopedia数据泄露的始作俑者。他在黑客论坛上出售 9100 万 Tokopedia 账户数据,标价 5000 美元。


糟糕的是,泄露的数据包含用户全名、电子邮件、电话号码、哈希密码、生日以及与 Tokopedia 个人资料相关的详细信息(帐户创建日期、上次登录名、电子邮件激活码、密码重置代码、位置详细信息、Messenger ID、爱好、教育等)。目前,这个数据库已经被卖了 2 次。


2020-05-09 18:527988
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 364.7 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

抖音、腾讯、阿里、美团春招服务端开发岗位硬核面试(完结)

aoho

面试 后端 阿里

极客大学架构师训练营 框架开发 模式与重构 JUnit、Spring、Hive核心源码解析 第6课

John(易筋)

spring 极客时间 极客大学 极客大学架构师训练营 JUnit

架构师训练营第三周学习总结

lwy

架构师训练营第三周命题作业

lwy

极客大学架构师训练营

架构训练营第四周 - 作业

无心水

极客大学架构师训练营

WPF中的Data Binding调试指南

大白技术控

.net 微软 WPF

Docker基础修炼2--Docker镜像原理及常用命令

黑马腾云

Docker Linux 容器 运维 镜像

区块链的应用为什么这么难?出路在哪?

CECBC

比特币 区块链技术 Token 联盟共识

测试阶段发现缺陷多怎么办?

洪永潮

新手村:Redis基础补充知识

多选参数

数据库 redis 数据库设计 redis6.0.0

区块链系列教程之:比特币中的挖矿

程序那些事

比特币 区块链 挖矿

面试官:我们来聊下锁吧

root

Java 乐观锁 悲观锁

为什么哈希表可以管理亿级数据?

八两

php redis hash rehash

辟谣:程序员不配谈恋爱?你错的可以!真相来了

码农神说

程序员 漫画 相亲

架构师训练营第四周-总结

无心水

极客大学架构师训练营

基于阿里云服务网格(ASM)的GRPC服务部署实践

韩陆

Kubernetes gRPC Service Mesh

创业一定要学投资

Neco.W

创业 投资

2020年6月26日 查询性能优化

瑞克与莫迪

ARTS WEEK4

紫枫

ARTS 打卡计划

过早优化是万恶之源

非著名程序员

程序员 程序人生 提升认知

极客大学架构师训练营 系统架构 第7课 听课总结

John(易筋)

极客时间 系统架构 高并发 极客大学 极客大学架构师训练营

​外包公司干了不到3个月,我离职了...(防坑指南)

程序员生活志

程序员 外包 工作经历

从0开始设计Flutter独立APP | 第一篇: 数据库与状态管理

渔子长

flutter 大前端 跨平台

架构师第4周

上山砍柴

极客大学架构师训练营

ARTS week3

姜海天

二叉树深度优先遍历

封不羁

Java 算法 二叉树

近两年流行面试题:Spring循环依赖问题

Java小咖秀

spring 面试 ioc

Why Spring ???

猴哥一一 cium

Java spring 源码 Spring Boot 框架设计

【总结】企业级案例驱动 打造高可用、高并发、多IDC部署业务中台微服务架构

魔曦

极客大学架构师训练营

[译]都0202年了,你还觉得go-scheduler很难理解吗?

卓丁

golang scheduler GPM goroutines Go 语言

MySQL InnoDB 存储引擎 - 锁

Axe

黑客盗走微软GitHub 500GB数据,不卖直接泄露_安全_万佳_InfoQ精选文章