近日,黑客ShinyHunters联系BleepingComputer,声称黑掉了微软的GitHub账户,获得了其所有私有库的访问权。黑客证明他可以访问微软的私有GitHub存储库。ShinyHunters表示,他原本想出售这500GB的私人项目数据,但最终决定免费开放。根据泄露文件的文件时间戳,研究人员推断本次数据泄露应该发生在2020年3月28日,到现在已经过去了一个多月。泄露的数据ShinyHunters指出了泄露的日期,并表示它已经失去了对该账户的访问权限。ShinyHunters在黑客论坛上提供了大约1GB的泄露数据文件供注册用户下载。虽然不收费,但需要网站积分。泄露的文件包含中文文本或引用了latelee.org或中文文本,一些黑客在论坛上回复说数据可能不真实。根据ShinyHunters发送给BleepingComputer的目录列表和样本数据分析,研究人员发现被盗数据主要是代码样本、测试版项目、电子书和其他一般内容。其他一些有趣的项目包括“wssd云代理”、一个Rust/WinRT语言翻译项目和一个PowerShell项目——“PowerSweep”。一般来说,泄露的数据中不会有Windows、Office源代码等重要数据。网络情报公司UndertheBreach表示,私人API密钥或密码可能被意外保存在一些私人存储库中,开发人员之前也做过类似的事情。但微软员工萨姆·史密斯发推称,此次数据泄露可能是假的,因为微软有规定GitHub存储库必须在30天内公开。BleepingComputer也联系了微软确认事件的真实性,但至今未收到回复。
