红帽白皮书新鲜出炉!点击获取,让你的云战略更胜一筹! 了解详情
写点什么

黑客盗走微软 GitHub 500GB 数据,不卖直接泄露

  • 2020-05-09
  • 本文字数:1172 字

    阅读完需:约 4 分钟

黑客盗走微软GitHub 500GB数据,不卖直接泄露


5 月 6 日,据外媒 BleepingComputer报道,有一名黑客声称自己从微软的 GitHub 私有存储库窃取了 500GB 数据。


据悉,这名黑客叫 Shiny Hunters,他宣称入侵了微软的 GitHub 账户,并完全访问了这家软件巨头的私有存储库。同时,他还下载了该账户上近 500GB 的私有项目。数据到手后,他最初打算直接卖掉,但是后来改变主意,Shiny Hunters 决定直接泄露这些数据。



泄露文件全部目录的文件戳记表明,泄露事件可能发生于 2020 年 3 月 28 日。



据悉,作为预热,Shiny Hunters 在一个黑客论坛提供了 1GB 文件,论坛注册用户则可以利用论坛信用分获取该数据。而网络安全情报公司Under the Breach也在黑客论坛上发现泄漏事件,并发布推文:


重磅消息!最近入侵过 Tokopedia 的黑客,他宣称自己有 500GB 的微软私有存储库源代码,其中大部分包含 Azure 源代码、以及 Office 和一些 Windows 运行时文件/API。

黑客是从微软的 GitHub 私有存储库窃取的这些数据。



通过研究泄漏数据,有一些泄露文件被发现包含中文或引用了 latelee.org。不过,盗窃的大部分文件看起来像代码样本、测试项目、电子书和其他常规项目。并且,黑客论坛上的其他黑客对该数据的真实性存疑。


而一些私有存储库看上去更令人感兴趣,其中一些被命名为“wssd cloud agent”、“The Rust/WinRT language projection”和“PowerSweep”的 PowerShell 项目。


大体上,展示出来的泄露数据显然意义不大,因为它并不包含软件(像 Windows 或 Office)的敏感代码。因此,微软不用为此感到担忧。


针对泄露事件,一名叫 Nirmal Guru 在网友称,“泄露的数据是真的,但是没有用处,微软 GitHub 账户下的所有私有存储库意味着都是公开的。即使它们现在是私有的,最终它们会被公开。最重要的是 AzureDevOps 组织账户!”


不过,网络安全情报公司 Under the Breach 担心的是,像过去有些开发者一样,私有 API 密钥或密码可能意外地遗留在一些私有存储库中。



关于 500GB 数据的真实性问题,ZDNet 则报道经过和微软多名员工确认得知,至少窃取文件中的有一小部分是真实的。不过,该媒体被告知:黑客并未获取到微软任何主要核心项目的源代码,比如 Windows 或 Office。


目前,已经有微软员工发布推文,确认了泄露事件的真实性。而在此前,有微软员工公开评论泄露事件是假的,但之后他们又删除了自己的推文。



目前,微软正在对泄露事件进行调查。


值得注意的是,此次入侵微软 GitHub 账户的黑客 Shiny Hunters 是最近印尼电商平台Tokopedia数据泄露的始作俑者。他在黑客论坛上出售 9100 万 Tokopedia 账户数据,标价 5000 美元。


糟糕的是,泄露的数据包含用户全名、电子邮件、电话号码、哈希密码、生日以及与 Tokopedia 个人资料相关的详细信息(帐户创建日期、上次登录名、电子邮件激活码、密码重置代码、位置详细信息、Messenger ID、爱好、教育等)。目前,这个数据库已经被卖了 2 次。


2020-05-09 18:527808
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.0 次阅读, 收获喜欢 1794 次。

关注

评论

发布
暂无评论
发现更多内容

LabVIEW串口调试助手

不脱发的程序猿

LabVIEW 串口通信 数据通信 串口调试助手 VISA

跟着动画学 Go 数据结构之二叉树

宇宙之一粟

数据结构 二叉树 Go 语言 5月月更

Nginx 和 Nginx Plus 的区别

HoneyMoose

STM32+华为云IOT设计的动态密码锁

DS小龙哥

5月月更

[Day37]-[二叉树]- 找树左下角的值

方勇(gopher)

LeetCode 二叉树 数据结构算法

轻量迅捷时代,Vite 与Webpack 谁赢谁输

葡萄城技术团队

前端 vite webpack 轮子

福昕软件:用PDF辅助技术弥合阅读障碍者的数字鸿沟

联营汇聚

消息队列Kafka「检索组件」重磅上线!

阿里巴巴云原生

阿里云 云原生 消息队列Kafka

Java并发机制的底层实现原理

急需上岸的小谢

5月月更

【愚公系列】2022年05月 二十三种设计模式(六)-适配器模式(Adapter Pattern)

愚公搬代码

5月月更

Django 如何获取 Model 字段列表?

AlwaysBeta

django

CentOS 8及以上版本配置IP的方法,你 get 了吗

伍工

Linux 网络

BI系统打包Docker镜像及容器化部署的具体实现

葡萄城技术团队

Docker 数据分析 BI BI 分析工具

python处理excel文件,python xlsxwriter 一文初掌握

梦想橡皮擦

5月月更

LabVIEW串口通信

不脱发的程序猿

LabVIEW 串口通信 数据通信

SAP 电商云启用 Enterprise Product Development Visualization Integration 的配置步骤

Jerry Wang

angular 电商 SAP commerce 5月月更

面试突击45:为什么要用读写锁?它有什么优点?

王磊

Java 面试

数据大屏,仅仅是数据展示吗?

葡萄城技术团队

数据分析 BI 数据可视化 数据大屏 BI分析

五年谷歌ML Infra生涯,我学到最重要的3个教训

OneFlow

机器学习 深度学习 深度学习框架 MLOps Data Infra

千人千面工作台,轻松定制你的移动业务场景

WorkPlus

Docker下的Spring Cloud三部曲之二:细说Spring Cloud开发

程序员欣宸

Java spring-cloud 5月月更

nginx配置系列(九)nginx中的防盗链

乌龟哥哥

5月月更

2022 开源之夏 | Serverless Devs 陪你“变得更强”

阿里巴巴云原生

阿里云 云原生 Serverless Devs 开源之夏

《对线面试官》Java泛型

Java3y

Java 程序员 编程语言 java 5月月更

【Python】新华字典(bushi

謓泽

5月月更

【高并发】ThreadLocal学会了这些,你也能和面试官扯皮了!

冰河

并发编程 多线程 协程 异步编程 精通高并发系列

MathType2022永久无限试用脚本程序

茶色酒

MathType

LabVIEW应用程序后台运行

不脱发的程序猿

LabVIEW

PyTorch 开发环境搭建

Emperor_LawD

PyTorch 5月月更

LabVIEW十六进制和字符类型转换

不脱发的程序猿

LabVIEW 进制转换

ChunJun支持异构数据源DDL转换与自动执行 丨DTMO 02期回顾(内含课程回放+课件)

袋鼠云数栈

大数据

黑客盗走微软GitHub 500GB数据,不卖直接泄露_安全_万佳_InfoQ精选文章