GMTC 全球大前端技术大会(北京站)门票 9 折特惠中,点击立减 ¥480 了解详情
写点什么

黑客盗走微软 GitHub 500GB 数据,不卖直接泄露

2020 年 5 月 09 日

黑客盗走微软GitHub 500GB数据,不卖直接泄露


5 月 6 日,据外媒 BleepingComputer报道,有一名黑客声称自己从微软的 GitHub 私有存储库窃取了 500GB 数据。


据悉,这名黑客叫 Shiny Hunters,他宣称入侵了微软的 GitHub 账户,并完全访问了这家软件巨头的私有存储库。同时,他还下载了该账户上近 500GB 的私有项目。数据到手后,他最初打算直接卖掉,但是后来改变主意,Shiny Hunters 决定直接泄露这些数据。



泄露文件全部目录的文件戳记表明,泄露事件可能发生于 2020 年 3 月 28 日。



据悉,作为预热,Shiny Hunters 在一个黑客论坛提供了 1GB 文件,论坛注册用户则可以利用论坛信用分获取该数据。而网络安全情报公司Under the Breach也在黑客论坛上发现泄漏事件,并发布推文:


重磅消息!最近入侵过 Tokopedia 的黑客,他宣称自己有 500GB 的微软私有存储库源代码,其中大部分包含 Azure 源代码、以及 Office 和一些 Windows 运行时文件/API。

黑客是从微软的 GitHub 私有存储库窃取的这些数据。



通过研究泄漏数据,有一些泄露文件被发现包含中文或引用了 latelee.org。不过,盗窃的大部分文件看起来像代码样本、测试项目、电子书和其他常规项目。并且,黑客论坛上的其他黑客对该数据的真实性存疑。


而一些私有存储库看上去更令人感兴趣,其中一些被命名为“wssd cloud agent”、“The Rust/WinRT language projection”和“PowerSweep”的 PowerShell 项目。


大体上,展示出来的泄露数据显然意义不大,因为它并不包含软件(像 Windows 或 Office)的敏感代码。因此,微软不用为此感到担忧。


针对泄露事件,一名叫 Nirmal Guru 在网友称,“泄露的数据是真的,但是没有用处,微软 GitHub 账户下的所有私有存储库意味着都是公开的。即使它们现在是私有的,最终它们会被公开。最重要的是 AzureDevOps 组织账户!”


不过,网络安全情报公司 Under the Breach 担心的是,像过去有些开发者一样,私有 API 密钥或密码可能意外地遗留在一些私有存储库中。



关于 500GB 数据的真实性问题,ZDNet 则报道经过和微软多名员工确认得知,至少窃取文件中的有一小部分是真实的。不过,该媒体被告知:黑客并未获取到微软任何主要核心项目的源代码,比如 Windows 或 Office。


目前,已经有微软员工发布推文,确认了泄露事件的真实性。而在此前,有微软员工公开评论泄露事件是假的,但之后他们又删除了自己的推文。



目前,微软正在对泄露事件进行调查。


值得注意的是,此次入侵微软 GitHub 账户的黑客 Shiny Hunters 是最近印尼电商平台Tokopedia数据泄露的始作俑者。他在黑客论坛上出售 9100 万 Tokopedia 账户数据,标价 5000 美元。


糟糕的是,泄露的数据包含用户全名、电子邮件、电话号码、哈希密码、生日以及与 Tokopedia 个人资料相关的详细信息(帐户创建日期、上次登录名、电子邮件激活码、密码重置代码、位置详细信息、Messenger ID、爱好、教育等)。目前,这个数据库已经被卖了 2 次。


2020 年 5 月 09 日 18:527188
用户头像
万佳 InfoQ编辑

发布了 549 篇内容, 共 201.8 次阅读, 收获喜欢 1377 次。

关注

评论

发布
暂无评论
发现更多内容

凡尔赛一波:开年闭关2月从小厂跳槽逆袭,成功入职美团(面经+心得)

程序员小毕

Java 程序员 面试 跳槽

华山版强势来袭!阿里巴巴Java性能优化2021年3月版(面试必备)

Java架构追梦

Java 阿里巴巴 架构 面试 性能优化

程序员之禅(三)

每天读本书

每天读本书

微服务指南

信码由缰

DevOps 微服务架构

Nginx 模块系统:前篇

soulteary

nginx 动态模块

想看新指标?教你轻松写prober插件

Obsuite

运维 滴滴夜莺 Obsuite prober插件

英特尔:i7-10870H 游戏性能超 R7 5800H,更强的 11 代酷睿 H 在后面

intel001

重磅!Flutter中网络图片加载和缓存源码分析,BAT大厂面试总结

欢喜学安卓

android 程序员 面试 移动开发

CodeHub#4 启动报名| 荷小鱼:K12 在线教育应用的开发实践

蚂蚁集团移动开发平台 mPaaS

在线教育 mPaaS codehub 离线包

萌新不看会后悔的C++基本类型总结(一)

花狗Fdog

当AI开始改造“文房四宝”:腾讯教育的脑洞与逻辑

脑极体

字节资深面试官带你深度剖析:Java面试技术点+互联网面试真题解析

Java成神之路

Java 程序员 架构 面试 编程语言

工作中,有哪些SQL是我们必须要掌握的?

xiezhr

oracle sql SQL语法 3月日更

农田治理效率低下还赔本?智慧农业力保粮食品质,效率事半功倍

一只数据鲸鱼

物联网 数据可视化 智慧城市 智慧农业 农业管理

Pano React Native SDK 来了!快速实现移动端音视频和白板

拍乐云Pano

flutter ios android RTC React Native

大赛报名|首次聚焦口罩场景!第三届 106 点关键点定位大赛开启

京东科技开发者

人工智能 深度学习 计算机视觉

腾讯T2大牛手把手教你!2021新一波程序员跳槽季,算法太TM重要了

欢喜学安卓

android 程序员 面试 移动开发

酷睿i7-10870H对比锐龙7 5800H游戏性能, 英特尔仍是游戏本CPU的更优选

intel001

详细!蚂蚁、字节、PDD社招面经Java岗(分布式+线程安全+MySQL+CAS)

Java成神之路

Java 程序员 架构 面试 编程语言

如何解决移动直播下的耳返延迟问题

融云 RongCloud

音视频 移动直播

百亿级流量的百度搜索中台,是怎么做可观测性建设的?

百度Geek说

中台 云原生 #百度#

干货来袭!2021面试必备阿里巴巴Java性能优化速成笔记我粉了!

Java王路飞

Java 程序员 架构 面试 性能优化

企业级链表设计思路:

大忽悠

3月日更

力扣(LeetCode)刷题,简单+中等题(第32期)

不脱发的程序猿

算法 LeetCode 编程能力 28天写作 3月日更

【LeetCode】用栈实现队列Java题解

HQ数字卡

算法 LeetCode 28天写作

金三银四如何突击面试美团?面试题(含答案)+学习笔记+电子书籍+学习视频

比伯

Java 编程 架构 面试 程序人生

中国程序员最容易发错的单词

happlyfox

GitHub 学习 程序人生 3月日更

【得物技术】会议室巡检系统(哮天犬)部署分享

得物技术

分享 部署 巡检 得物技术 会议室

CentOS安装Docker运行环境

wjchenge

Docker Centos 7

拒不外传!阿里内部耗重金找人总结出这份并发编程手册(全彩版)

周老师

Java 编程 程序员 架构 面试

一年半工作经历的我是怎么字节四面成功拿到offer的?

Java成神之路

Java 程序员 架构 面试 编程语言

DIY 的 Kubernetes 集群的稳定性保障实践

DIY 的 Kubernetes 集群的稳定性保障实践

黑客盗走微软GitHub 500GB数据,不卖直接泄露-InfoQ