写点什么

黑客盗走微软 GitHub 500GB 数据,不卖直接泄露

  • 2020-05-09
  • 本文字数:1172 字

    阅读完需:约 4 分钟

黑客盗走微软GitHub 500GB数据,不卖直接泄露


5 月 6 日,据外媒 BleepingComputer报道,有一名黑客声称自己从微软的 GitHub 私有存储库窃取了 500GB 数据。


据悉,这名黑客叫 Shiny Hunters,他宣称入侵了微软的 GitHub 账户,并完全访问了这家软件巨头的私有存储库。同时,他还下载了该账户上近 500GB 的私有项目。数据到手后,他最初打算直接卖掉,但是后来改变主意,Shiny Hunters 决定直接泄露这些数据。



泄露文件全部目录的文件戳记表明,泄露事件可能发生于 2020 年 3 月 28 日。



据悉,作为预热,Shiny Hunters 在一个黑客论坛提供了 1GB 文件,论坛注册用户则可以利用论坛信用分获取该数据。而网络安全情报公司Under the Breach也在黑客论坛上发现泄漏事件,并发布推文:


重磅消息!最近入侵过 Tokopedia 的黑客,他宣称自己有 500GB 的微软私有存储库源代码,其中大部分包含 Azure 源代码、以及 Office 和一些 Windows 运行时文件/API。

黑客是从微软的 GitHub 私有存储库窃取的这些数据。



通过研究泄漏数据,有一些泄露文件被发现包含中文或引用了 latelee.org。不过,盗窃的大部分文件看起来像代码样本、测试项目、电子书和其他常规项目。并且,黑客论坛上的其他黑客对该数据的真实性存疑。


而一些私有存储库看上去更令人感兴趣,其中一些被命名为“wssd cloud agent”、“The Rust/WinRT language projection”和“PowerSweep”的 PowerShell 项目。


大体上,展示出来的泄露数据显然意义不大,因为它并不包含软件(像 Windows 或 Office)的敏感代码。因此,微软不用为此感到担忧。


针对泄露事件,一名叫 Nirmal Guru 在网友称,“泄露的数据是真的,但是没有用处,微软 GitHub 账户下的所有私有存储库意味着都是公开的。即使它们现在是私有的,最终它们会被公开。最重要的是 AzureDevOps 组织账户!”


不过,网络安全情报公司 Under the Breach 担心的是,像过去有些开发者一样,私有 API 密钥或密码可能意外地遗留在一些私有存储库中。



关于 500GB 数据的真实性问题,ZDNet 则报道经过和微软多名员工确认得知,至少窃取文件中的有一小部分是真实的。不过,该媒体被告知:黑客并未获取到微软任何主要核心项目的源代码,比如 Windows 或 Office。


目前,已经有微软员工发布推文,确认了泄露事件的真实性。而在此前,有微软员工公开评论泄露事件是假的,但之后他们又删除了自己的推文。



目前,微软正在对泄露事件进行调查。


值得注意的是,此次入侵微软 GitHub 账户的黑客 Shiny Hunters 是最近印尼电商平台Tokopedia数据泄露的始作俑者。他在黑客论坛上出售 9100 万 Tokopedia 账户数据,标价 5000 美元。


糟糕的是,泄露的数据包含用户全名、电子邮件、电话号码、哈希密码、生日以及与 Tokopedia 个人资料相关的详细信息(帐户创建日期、上次登录名、电子邮件激活码、密码重置代码、位置详细信息、Messenger ID、爱好、教育等)。目前,这个数据库已经被卖了 2 次。


2020-05-09 18:527943
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 357.7 次阅读, 收获喜欢 1800 次。

关注

评论

发布
暂无评论
发现更多内容

Linux系统DolphinScheduler3.1.5安装部署教程。

百度搜索:蓝易云

云计算 Linux 运维 服务器 DolphinScheduler

运输车辆超时停车预警难?TDengine 流式计算助力吉科软轻松解决

爱倒腾的程序员

数据库

IPD(集成产品开发)跟敏捷、DevOps一样吗?有什么区别?

禅道项目管理

DevOps 敏捷开发 IPD

火山引擎DataLeap如何解决SLA治理难题(一):应用场景与核心概念介绍

字节跳动数据平台

数据中台 数据治理 SLA 数据研发 企业号 7 月 PK 榜

任务调度之时间轮实现 | 京东云技术团队

京东科技开发者

定时任务 数据结构与算法 时间轮 企业号 7 月 PK 榜

WorkPlus AI助理:结合ChatGPT对话能力与企业数据,助力企业级AI构建!

WorkPlus

带你掌握利用Terraform不同数据源扩展应用场景

华为云开发者联盟

开发 华为云 华为云开发者联盟 企业号 7 月 PK 榜

虚拟ECU:助力汽车故障诊断

DevOps和数字孪生

软件定义汽车 虚拟ECU

火山引擎A/B测试“广告投放实验”基础能力重构实践 (DataFunTalk渠道)

字节跳动数据平台

虚拟平台中的“有意”/“无意”故障注入

DevOps和数字孪生

故障注入 虚拟平台

如何使用openEuler WSL sideload

openEuler

Linux 前端 操作系统 wsl openEuler

Leangoo领歌敏捷工具提供哪些Scrum敏捷培训?

顿顿顿

敏捷开发 敏捷开发管理工具 scrum工具 scrum培训 敏捷培训

手机直播app源码部署搭建:带货潮流,商城功能!——山东布谷科技创作

山东布谷科技

软件开发 直播 源码搭建 直播APP源码 手机直播源码

从TL、ITL到TTL | 京东物流技术团队

京东科技开发者

ThreadLocal ThreadLocalMap 企业号 7 月 PK 榜

MobPush:Android客户端SDK厂商通道回执配置指南

MobTech袤博科技

程序员 前端 sdk 客户端开发 Andrdoid

龙蜥社区首次突破!高性能存储 SIG 现身 LSF/MM/BPF 2023 分享 EROFS 的演进路线

OpenAnolis小助手

开源 高性能存储 龙蜥社区 sig EROFS

Seal AppManager如何基于Terraform简化基础设施管理

SEAL安全

Kubernetes Terraform 平台工程 SealAppManager 企业号 7 月 PK 榜

基于ClickHouse解决活动海量数据问题 | 京东云技术团队

京东科技开发者

数据库 Clickhouse 数据处理 企业号 7 月 PK 榜

Nautilus Chain NautDID NFT 将上主网,Layer3 数字身份时代开启

西柚子

大语言模型评估全解:评估流程、评估方法及常见问题

Baihai IDP

人工智能 白海科技 LLMOps 大模型评估 企业号 7 月 PK 榜

书画家点赞!基于飞桨绘制中国水墨山水画

飞桨PaddlePaddle

人工智能 paddle 飞桨 百度飞桨 AIGC

Flink 在新能源场站运维的应用

Apache Flink

大数据 flink 实时计算

常用语言的线程模型(Java、go、C++、python3) | 京东云技术团队

京东科技开发者

Java c++ Go 线程模型 企业号 7 月 PK 榜

联通 Flink 实时计算平台化运维实践

Apache Flink

大数据 flink 实时计算

当代数据库与数据管理技术的先驱者之一 Mohan 教授指导 IoTDB 时序数据库 Timecho 研发团队

Apache IoTDB

IoTDB Apache IoTDB

Debian11系统编译安装MySQL5.7教程。

百度搜索:蓝易云

云计算 Linux 运维 Debian MySQL 5.7

关于 Elasticsearch 不同分片设置的压测报告

极限实验室

索引 压测 ES

私有化的即时通讯软件能给企业带来什么好处?

WorkPlus

华为云云原生数据库,让企业离应用更进一步

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 7 月 PK 榜

如何学习ABAQUS有限元仿真分析软件

思茂信息

abaqus abaqus软件 abaqus有限元仿真 有限元分析 有限元仿真

黑客盗走微软GitHub 500GB数据,不卖直接泄露_安全_万佳_InfoQ精选文章