微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

新闻 安全
近日,据外媒报道,有黑客声称从微软的私人 GitHub 存储库中窃取了超过 500GB 的数据,并联系了 Bleeping Computer,声称他们已经获得了对这个软件巨头的“私人”存储库的完全访问权,并提供了证据。

本文转自雷锋网,如需转载请至雷锋网官网申请授权。

 近日,据外媒报道,有黑客声称从微软的私人 GitHub 存储库中窃取了超过 500GB 的数据,并联系了 Bleeping Computer,声称他们已经获得了对这个软件巨头的“私人”存储库的完全访问权,并提供了证据。

微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

图自:Bleeping Computer

对此,一位网友悲观的表示:

“什么都能被黑,再也不知道什么是安全的了”。

但有趣的是,这名黑客放弃了出售的计划,现在决定免费泄露。

不知道微软有没有怕......

Shiny Hunters 是怎么黑进微软私人仓库的?

要偷数据,首先要发现漏洞。

根据泄漏文件的完整目录列表中的文件戳记,该漏洞可能发生在 2020 年 3 月 28 日。

图自:Bleeping Computer

Shiny Hunters 首先在黑客论坛上提供了 1GB 的文件,供注册会员使用网站“信用”来获取泄露的数据。

但由于一些泄露的文件包含中文文本或对 latelee.org 的引用,论坛上的其他威胁参与者并不认为这些数据是真实的。

根据 Shiny Hunters 发送到 BleepingComputer 的私有存储库的被盗数据和源代码的完整目录列表,被盗文件主要是代码样本、测试项目、电子书和其他通用项目。

而一些私有存储库看起来倒似乎更有趣一些,比如一些被命名为“wssd云代理”,一个“铁锈/WinRT语言”项目,以及一个“ PowerSweep ”PowerShell 项目。

总的来说,从共享的内容来看,微软似乎没有什么值得担心的,因为它没有包含像视窗或办公软件这样更敏感的代码。

网络安全情报公司 Under the Breach 也在黑客论坛上发现泄漏事件,并表示这没什么好担心的,因为黑客并未获取到微软任何主要核心项目的源代码,比如 Windows 或 Office。

图自:Twiteer

不过,有网友也表示,“泄露的数据是真的,但是没有用处,微软 GitHub 账户下的所有私有存储库意味着都是公开的,即使它们现在是私有的,最终它们会被公开。最重要的是 AzureDevOps 组织账户!”

但让网络安全情报公司 Under the Breach 担心的是,像过去有些开发者一样,私有 API 密钥或密码可能意外地遗留在一些私有存储库中,这个才是真正的隐患。

微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

图自:Bleeping Computer

目前,微软正在调查中。

需要注意的是,此次入侵微软 GitHub 账户的黑客 Shiny Hunters 是最近印尼电商平台 Tokopedia 数据泄露的始作俑者。他在黑客论坛上出售 9100 万 Tokopedia 账户数据,标价 5000 美元。

那么,有没有可能,Shiny Hunters 在策划更大的局,这一次只是想给微软一个警告呢?

被黑客盯上的 GitHub 

作为全球程序员的大本营, GitHub 被黑客盯上也不是第一次了。

2018 年,Gentoo Linux 发行版的维护方发布了一份事件报告,称此前有人劫持了该组织的一个 GitHub帐户并植入了恶意代码。

2019 年 4 月,Docker Hub 数据库遭遇未授权人士访问,并导致约 19 万用户的敏感信息曝光在外,这批信息包含一部分用户名与散列密码,以及 GitHub 与 Bitbucket 存储库的登录令牌。目前,Github tokens 被撤销,已禁用构建。

2019 年 5 月,GitHub 遭到黑客的攻击勒索,程序员们托管在该网站上的源代码和 Repo 都不见了。黑客要求这些受害者在十天内往特定账户支付 0.1 比特币,否则他们将会公开代码,或者以其他的方式使用。

那么,黑客为啥总是要薅 GitHub 的羊毛呢?

首先是开源社区的开放性。

根据 Snyk 2019 年开源安全现状调查报告显示,37% 的开源开发者在持续集成 (CI) 期间没有实施任何类型的安全测试,54% 的开发者没有对 Docker 镜像进行任何安全测试。这也导致两年时间内,各大平台的应用程序漏洞数量增长了 88%。 GitHub 上排名前 40 万的公共代码库中,仅 2.4% 有安全文档。而 npm 和 Maven 中央仓库的安全隐患尤其严重,而二者也是工具包数量增长最多的平台。

图自:Snyk 2019 年开源安全现状调查报告

也就是说,这些代码库是没有安全后门的,这岂不是为黑客打开大门吗?

其次,是开源项目维护者自身的安全意识不高。

根据Snyk 2019 年开源安全现状调查报告,在一个针对 500 多名开源项目维护者的调查中,只有 30% 不的开源工程师具有较高的安全意识。

微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

图自:Snyk 2019 年开源安全现状调查报告

而一个更为严重的事实是,绝大多数企业的开发团队,对开源软件的使用都非常随意,运维人员也无法知晓软件系统中是否包含了开源软件,包含了哪些开源软件,以及这些软件中是否存在安全漏洞。并且大多数云供应商在将企业数据上传到集群之前都不会加密数据。

所以,程序员们和开发者们是时候留点心了。

最后一问,开源和安全,你选哪个?

 

 

责任编辑:张燕妮 来源: 雷锋网
相关推荐

2020-05-08 11:56:43

微软GitHub账号黑客

2020-05-08 15:50:34

黑客数据泄露微软GitHub

2020-05-08 09:30:33

黑客微软GitHub

2023-07-04 16:14:55

2022-03-27 11:51:01

微软Lapsus$源代码

2023-03-15 18:29:05

2009-01-07 15:40:36

希捷BarracudaSeagate

2009-02-19 09:49:45

希捷单碟500GBHDD

2020-05-12 17:21:11

黑客数据泄露恶意软件

2015-10-08 10:51:47

2023-10-11 07:14:28

2009-10-09 09:19:58

2023-07-06 07:06:25

2014-08-08 16:36:31

2024-10-10 14:38:41

2019-05-07 08:41:03

GitHub黑客微软

2015-07-06 14:15:38

2022-08-09 23:20:30

黑客数据安全

2020-12-10 14:36:09

黑客网络安全网络攻击

2024-11-05 17:35:21

点赞
收藏

51CTO技术栈公众号