“我们已经成功入侵了微软的GitHub私有存储库,并从中窃取了500GB的数据。免费发布。”一名自称ShinyHunters的黑客联系了外媒,声称自己黑进了微软的GitHub账户,获得了这家软件巨头私有仓库的完全访问权限,同时为了证明入侵成功,这名黑客还展示了微软私有仓库的证据,如下图所示:不仅如此,黑客还主动透露了他的计划,他原本打算在暗网上出售数据,现在打算直接泄露出去。此外,他还提供了部分被盗文件,从下面的文件截图可以看出,这些数据泄露的时间可以追溯到2020年3月28日,随后,ShinyHunters在黑客论坛上发布了一个1GB的文件。预热,论坛网站注册会员可通过网站“信用”获取数据,部分泄露数据文件包含中文文本或引用latelee.org,数据真实性存疑论坛上的其他黑客。此外,数据似乎主要是代码示例、测试项目、电子书和其他一般项目。一些私有仓库如“wssd云代理”、“Rust/WinRT语言投影”、“PowerSweep”PowerShell项目比较吸引人,但总体来说,从分享的数据内容来看,并没有发现Windows或者Office等影响更大的源代码。网络情报公司UndertheBreach在黑客论坛上看到了这个漏洞,也认为这是一个小问题。他们唯一担心的是,API私钥或密码是否会像其他开发人员过去所做的那样,不小心留在某个私有存储库中,这是未知且危险的。微软员工SamSmith回应UndertheBreach的推文说,他认为泄漏是伪造的,因为“Msft有一个‘规则’,即GitHub存储库必须在30天内公开。删除。值得注意的是,UndertheBreach还在推特上提到,黑客攻击GitHub的幕后黑手ShinyHunters是前两天印尼最大电商平台Tokopedia数据泄露事件的始作俑者。那次出售包含1500万条用户记录,这只是泄露数据总量的一部分。完整用户记录高达9000万,售价仅为5000美元。它包含大量用户敏感信息,例如全名、电子邮件、电话号码、哈希密码、生日和与Tokopedia个人资料相关的详细信息(帐户创建日期、最后登录名、电子邮件激活码、密码重置代码、位置详细信息、MessengerID、爱好、教育、关于我的领域等)。这位黑客作案频频,微软尚未对他此次的行为做出回应。这些文件是否确实是法律文件目前还不清楚,本文将继续跟进。
