微软 GitHub 账号 500GB 数据被黑客窃取，并声称要免费泄露，网安公司：这没什么好怕的！

来源：雷锋网

近日，据外媒报道，有黑客声称从微软的私人 GitHub 存储库中窃取了超过 500GB 的数据，并联系了 Bleeping Computer，声称他们已经获得了对这个软件巨头的 " 私人 " 存储库的完全访问权，并提供了证据。

图自：Bleeping Computer

对此，一位网友悲观的表示：

" 什么都能被黑，再也不知道什么是安全的了 "。

但有趣的是，这名黑客放弃了出售的计划，现在决定免费泄露。

不知道微软有没有怕 ......

Shiny Hunters 是怎么黑进微软私人仓库的？

要偷数据，首先要发现漏洞。

根据泄漏文件的完整目录列表中的文件戳记，该漏洞可能发生在 2020 年 3 月 28 日。

Shiny Hunters 首先在黑客论坛上提供了 1GB 的文件，供注册会员使用网站 " 信用 " 来获取泄露的数据。

但由于一些泄露的文件包含中文文本或对 latelee.org 的引用，论坛上的其他威胁参与者并不认为这些数据是真实的。

根据 Shiny Hunters 发送到 BleepingComputer 的私有存储库的被盗数据和源代码的完整目录列表，被盗文件主要是代码样本、测试项目、电子书和其他通用项目。

而一些私有存储库看起来倒似乎更有趣一些，比如一些被命名为 "wssd 云代理 "，一个 " 铁锈 /WinRT 语言 " 项目，以及一个 " PowerSweep "PowerShell 项目。

总的来说，从共享的内容来看，微软似乎没有什么值得担心的，因为它没有包含像视窗或办公软件这样更敏感的代码。

网络安全情报公司 Under the Breach 也在黑客论坛上发现泄漏事件，并表示这没什么好担心的，因为黑客并未获取到微软任何主要核心项目的源代码，比如 Windows 或 Office。

图自：Twiteer

不过，有网友也表示，" 泄露的数据是真的，但是没有用处，微软 GitHub 账户下的所有私有存储库意味着都是公开的，即使它们现在是私有的，最终它们会被公开。最重要的是 AzureDevOps 组织账户！"

但让网络安全情报公司 Under the Breach 担心的是，像过去有些开发者一样，私有 API 密钥或密码可能意外地遗留在一些私有存储库中，这个才是真正的隐患。

目前，微软正在调查中。

需要注意的是，此次入侵微软 GitHub 账户的黑客 Shiny Hunters 是最近印尼电商平台 Tokopedia 数据泄露的始作俑者。他在黑客论坛上出售 9100 万 Tokopedia 账户数据，标价 5000 美元。

那么，有没有可能，Shiny Hunters 在策划更大的局，这一次只是想给微软一个警告呢？

被黑客盯上的 GitHub

作为全球程序员的大本营， GitHub 被黑客盯上也不是第一次了。

2018 年，Gentoo Linux 发行版的维护方发布了一份事件报告，称此前有人劫持了该组织的一个 GitHub 帐户并植入了恶意代码。

（编辑：ASP站长网）