本文转载自雷锋网。如需转载,请在雷锋网官网申请授权。近日,据外媒报道,自称从微软私有GitHub存储库中窃取了超过500GB数据的黑客联系了BleepingComputer,声称他们已经获得了对这家软件巨头“私有”存储库的完全访问权限,并提供了证据。图片来自:BleepingComputer对此,有网友悲观地表示:“万物皆可黑,不知什么才是安全的了。”但有趣的是,黑客放弃了出售的计划,现在决定免费泄露。不知道微软是不是怕了……ShinyHunters是怎么黑进微软私有仓库的?要窃取数据,首先要找到漏洞。根据泄露文件的完整目录列表中的文件戳,该漏洞很可能发生在2020年3月28日。图片来自:BleepingComputerShinyHunters首先在黑客论坛上提供了1GB的文件,供注册会员使用网站“积分”获取泄露的数据。但由于一些泄露的文件包含中文文本或对latelee.org的引用,论坛上的其他威胁参与者不相信这些数据是真实的。根据ShinyHunters发送到BleepingComputer私人存储库的被盗数据和源代码的完整目录清单,被盗文件主要是代码示例、测试项目、电子书和其他通用项目。一些私有存储库似乎更有趣,比如一些名为“wssdcloudagent”的项目、一个“rust/WinRT语言”项目和一个“PowerSweep”PowerShell项目。总的来说,从共享的内容来看,微软似乎没有什么可担心的,因为它不包含更敏感的代码,如Windows或Office。网络安全情报公司UndertheBreach也在黑客论坛上发现了漏洞,并表示无需担心,因为黑客没有获得任何微软主要核心项目(如Windows或Office)的源代码。图片来自:Twiteer不过,也有网友表示,“泄露的数据是真实的,但没有用。微软GitHub账户下的所有私有存储库本来就是公开的,即使现在是私有的,最终也会被删除。公开的.最重要的是AzureDevOps组织账户!”但让网络安全情报公司UndertheBreach担心的是,私人API密钥或密码可能会被意外留在一些私人存储库中,就像一些开发人员过去所做的那样。是实实在在的隐患。图自:BleepingComputer目前,微软正在调查中。需要说明的是,入侵微软GitHub账户的黑客ShinyHunters是近期印尼电商平台Tokopedia数据泄露事件的始作俑者。他以5000美元的价格在黑客论坛上出售9100万个Tokopedia帐户的数据。那么,ShinyHunters是否有可能正在策划一场更大的比赛,这次只是想给微软一个警告?GitHub被黑客盯上是全球程序员的大本营,GitHub被黑客盯上也不是第一次了。2018年,GentooLinux发行版的维护者发布了一份事件报告,称此前有人劫持了该组织的一个GitHub账户并植入了恶意代码。2019年4月,DockerHub数据库被未经授权的人访问,暴露了约190,000名用户的敏感信息,包括一些用户名和哈希密码,以及GitHub和Bitbucket存储库的登录令牌。目前,Github令牌已被撤销,构建也被禁用。2019年5月,GitHub遭到黑客勒索赎金攻击,网站上程序员托管的源代码和Repo不翼而飞。黑客要求这些受害者在十天内向特定账户支付0.1个比特币,否则他们将泄露代码,或以其他方式使用它。那么,为什么黑客总想榨取GitHub的羊毛呢?首先是开源社区的开放性。根据Snyk的2019年开源安全状况调查报告,37%的开源开发人员在持续集成(CI)期间未实施任何类型的安全测试,54%的开发人员未对Docker镜像执行任何安全测试。这也导致两年间跨平台的应用程序漏洞数量增加了88%。GitHub上前400,000个公共存储库中只有2.4%有安全文档。npm和MavenCentralRepository的安全隐患尤为严重,也是工具包数量增长最多的平台。图片来自:Snyk2019年开源安全状况调查报告也就是说,这些代码库没有安全后门。这不是为黑客打开了大门吗?其次,开源项目的维护者安全意识不高。根据Snyk的2019StateofOpenSourceSecuritySurvey报告,在对500多名开源项目维护者的调查中,只有30%的开源工程师具有较高的安全意识。图片来自:Snyk2019开源安全状况调查报告而一个更严重的事实是,大多数公司的开发团队使用开源软件非常随意,运维人员无法知道软件系统是否包含开源软件。软件,包括哪些开源软件,这些软件是否存在安全漏洞。大多数云提供商在将公司数据上传到集群之前不会对其进行加密。所以,程序员和开发人员,是时候小心了。最后一个问题,开源和安全,你选哪个?
