51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

作者:刘琳
新闻 安全
近日,据外媒报道,有黑客声称从微软的私人 GitHub 存储库中窃取了超过 500GB 的数据,并联系了 Bleeping Computer,声称他们已经获得了对这个软件巨头的“私人”存储库的完全访问权,并提供了证据。

本文转自雷锋网,如需转载请至雷锋网官网申请授权。

 近日,据外媒报道,有黑客声称从微软的私人 GitHub 存储库中窃取了超过 500GB 的数据,并联系了 Bleeping Computer,声称他们已经获得了对这个软件巨头的“私人”存储库的完全访问权,并提供了证据。

微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

图自:Bleeping Computer

对此,一位网友悲观的表示:

“什么都能被黑,再也不知道什么是安全的了”。

但有趣的是,这名黑客放弃了出售的计划,现在决定免费泄露。

不知道微软有没有怕......

Shiny Hunters 是怎么黑进微软私人仓库的?

要偷数据,首先要发现漏洞。

根据泄漏文件的完整目录列表中的文件戳记,该漏洞可能发生在 2020 年 3 月 28 日。

图自:Bleeping Computer

Shiny Hunters 首先在黑客论坛上提供了 1GB 的文件,供注册会员使用网站“信用”来获取泄露的数据。

但由于一些泄露的文件包含中文文本或对 latelee.org 的引用,论坛上的其他威胁参与者并不认为这些数据是真实的。

根据 Shiny Hunters 发送到 BleepingComputer 的私有存储库的被盗数据和源代码的完整目录列表,被盗文件主要是代码样本、测试项目、电子书和其他通用项目。

而一些私有存储库看起来倒似乎更有趣一些,比如一些被命名为“wssd云代理”,一个“铁锈/WinRT语言”项目,以及一个“ PowerSweep ”PowerShell 项目。

总的来说,从共享的内容来看,微软似乎没有什么值得担心的,因为它没有包含像视窗或办公软件这样更敏感的代码。

网络安全情报公司 Under the Breach 也在黑客论坛上发现泄漏事件,并表示这没什么好担心的,因为黑客并未获取到微软任何主要核心项目的源代码,比如 Windows 或 Office。

图自:Twiteer

不过,有网友也表示,“泄露的数据是真的,但是没有用处,微软 GitHub 账户下的所有私有存储库意味着都是公开的,即使它们现在是私有的,最终它们会被公开。最重要的是 AzureDevOps 组织账户!”

但让网络安全情报公司 Under the Breach 担心的是,像过去有些开发者一样,私有 API 密钥或密码可能意外地遗留在一些私有存储库中,这个才是真正的隐患。

微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

图自:Bleeping Computer

目前,微软正在调查中。

需要注意的是,此次入侵微软 GitHub 账户的黑客 Shiny Hunters 是最近印尼电商平台 Tokopedia 数据泄露的始作俑者。他在黑客论坛上出售 9100 万 Tokopedia 账户数据,标价 5000 美元。

那么,有没有可能,Shiny Hunters 在策划更大的局,这一次只是想给微软一个警告呢?

被黑客盯上的 GitHub 

作为全球程序员的大本营, GitHub 被黑客盯上也不是第一次了。

2018 年,Gentoo Linux 发行版的维护方发布了一份事件报告,称此前有人劫持了该组织的一个 GitHub帐户并植入了恶意代码。

2019 年 4 月,Docker Hub 数据库遭遇未授权人士访问,并导致约 19 万用户的敏感信息曝光在外,这批信息包含一部分用户名与散列密码,以及 GitHub 与 Bitbucket 存储库的登录令牌。目前,Github tokens 被撤销,已禁用构建。

2019 年 5 月,GitHub 遭到黑客的攻击勒索,程序员们托管在该网站上的源代码和 Repo 都不见了。黑客要求这些受害者在十天内往特定账户支付 0.1 比特币,否则他们将会公开代码,或者以其他的方式使用。

那么,黑客为啥总是要薅 GitHub 的羊毛呢?

首先是开源社区的开放性。

根据 Snyk 2019 年开源安全现状调查报告显示,37% 的开源开发者在持续集成 (CI) 期间没有实施任何类型的安全测试,54% 的开发者没有对 Docker 镜像进行任何安全测试。这也导致两年时间内,各大平台的应用程序漏洞数量增长了 88%。 GitHub 上排名前 40 万的公共代码库中,仅 2.4% 有安全文档。而 npm 和 Maven 中央仓库的安全隐患尤其严重,而二者也是工具包数量增长最多的平台。

图自:Snyk 2019 年开源安全现状调查报告

也就是说,这些代码库是没有安全后门的,这岂不是为黑客打开大门吗?

其次,是开源项目维护者自身的安全意识不高。

根据Snyk 2019 年开源安全现状调查报告,在一个针对 500 多名开源项目维护者的调查中,只有 30% 不的开源工程师具有较高的安全意识。

微软 GitHub 账号 500GB 数据被黑客窃取,并声称要免费泄露,网安公司:这没什么好怕的!

图自:Snyk 2019 年开源安全现状调查报告

而一个更为严重的事实是,绝大多数企业的开发团队,对开源软件的使用都非常随意,运维人员也无法知晓软件系统中是否包含了开源软件,包含了哪些开源软件,以及这些软件中是否存在安全漏洞。并且大多数云供应商在将企业数据上传到集群之前都不会加密数据。

所以,程序员们和开发者们是时候留点心了。

最后一问,开源和安全,你选哪个?

 

 

责任编辑:张燕妮 来源: 雷锋网
微软GitHub黑客
相关推荐
微软GitHub账号被黑500GB数据窃取
近日,有一名为ShinyHunters的黑客联系BleepingComputer称黑掉了微软的GitHub账号,并获得了其所有Private库的访问权限。

2020-05-08 11:56:43

微软GitHub账号黑客
黑客声称窃取GitHub 500GB源代码,准备不出售直接泄露
一名自称ShinyHunters的黑客主动联系了一家国外媒体,声称其已经入侵微软GitHub账户,获取了这家软件巨头私人存储库的完全访问权。

2020-05-08 15:50:34

黑客数据泄露微软GitHub
黑客声称微软GitHub私人数据库当中盗取500GB数据
一名黑客声称从微软GitHub账户上存储的私人仓库中窃取了超过500GB的数据。

2020-05-08 09:30:33

黑客微软GitHub
微软确认被黑客窃取37GB源代码
Lapsus$发布了一个9GB压缩文件的种子文件,其中包含属于微软的超过250个内部项目的源代码。Lapsus$称其中包含Bing90%的源代码,以及BingMaps和Cortana45%的源代码。

2022-03-27 11:51:01

微软Lapsus$源代码
黑客声称窃取3000万客户信息,微软否认数据泄露
微软于6月下旬发布博文,承认旗下Microsoft365及Azure云服务遭到DDoS攻击。黑客组织AnonymousSudan宣称对本次攻击负责,成功入侵了微软服务器,并窃取了3000万客户的信息。

2023-07-04 16:14:55

WatchStor观察:希捷首推500GB单面硬盘
Barracuda7200.12HD,这台3.5英寸,7200转的驱动器,通过两张磁盘实现了1TB的存储容量。这款希捷推出的新硬盘驱动器最大的特点就是它的记录密度高达329G平方英寸,瞄准的是台式RAID的用户与企业市场。

2009-01-07 15:40:36

希捷BarracudaSeagate
单碟500GB 希捷7200.12 750GB硬盘上市
今年1月,希捷发布了单碟容量达到500GB的全新桌面SATA硬盘系列7200.12,最初上市的型号包括1TB和500GB两款。日前,该系列中的750GB型号也出现在日本秋叶原市场上。

2009-02-19 09:49:45

希捷单碟500GBHDD
泄露21GB数据!知名安全公司黑客攻击
Acronis并非是首家遭受黑客攻击的安全企业,其它安全巨头同样深陷网络危机中。

2023-03-15 18:29:05

GitHub 500GB数据窃贼再出手,出售10家企业7320万条用户记录
近期“ShinyHunters”黑客组织频频见诸报端,前有印度尼西亚电商平台大规模的用户数据泄露,高达9000万条,后有GitHub500GB数据源码的免费公布,虽然微软尚未发布声明。

2020-05-12 17:21:11

黑客数据泄露恶意软件
数据公司被黑客入侵 1500万T-Mobile用户信息泄露
全球数据服务集团益百利(Experian)公司电脑遭到黑客入侵,受影响的服务器上有益百利的客户TMobile的数据,包括美国1500万客户和信用申请人的信息。

2015-10-08 10:51:47

微软承认近万Hotmail帐户泄露否认被黑客攻击
据国外媒体报道,微软周一承认,数千个LiveHotmail帐户被公布到互联网上,但否认该项服务被黑客攻陷。周一早些时候有报道称,微软LiveHotmail服务可能被黑客攻破,因为有匿名人士在pastebin.com网站上公布了1万多个LiveHotmail电子邮件帐户名和密码,且全部为真实信息。

2009-10-09 09:19:58

FireEye被黑客组织入侵,“核武”泄露
全球最大的网络安全公司之一FireEye(火眼)昨天披露遭遇黑客入侵,黑客成功窃取了FireEye渗透测试客户网络的黑客工具。

2020-12-10 14:36:09

黑客网络安全网络攻击
索尼数据被黑客窃取并在暗网上进行出售
索尼公司再次陷入网络攻击的漩涡。这次是一个名为"Ransomed.vc"的黑客团伙,他们声称已经成功入侵了这家科技巨头的网络,该团伙声称,他们的目标是在黑市上出售被窃取的数据。

2023-10-11 07:14:28

黑客组织窃取12亿账号和密码
近日,据彭博社网站报道,美国安全厂商HoldSecurity披露,俄罗斯一个黑客组织窃取了12亿个互联网帐户的帐户名和密码,这也是已知的最严重的互联网信息盗窃案。

2014-08-08 16:36:31

免费Web托管公司000Webhost被黑 1350万明文密码泄露
全球最流行的免费Web托管公司000Webhost遭遇了一次大规模的数据泄露事件,1350万用户的个人数据泄露。

2015-10-30 13:59:27

3000万微软账户泄露微软否认被黑
BleepingComputer联系了微软,微软发言人代表否认了数据泄露事件。称目前没有证据表明微软客户数据被非授权访问或入侵。

2023-07-06 07:06:25

微软中枪,GitHub数百源代码被黑客删除用于勒索
“别动,再动我开枪了!”一个彪形汉子用枪指着宅宅的脑袋,这个抢劫犯是认真的!宅宅双腿软成面条,豆大的汗珠滚滚而下,连求饶的力气都没了。

2019-05-07 08:41:03

GitHub黑客微软
黑客公司Hacking Team被黑 泄露大量内部资料及攻击工具
HackingTeam是一家以协助政府监视公民而“闻名于世”的意大利公司,他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具。而这两天他们居然被黑了!

2015-07-06 14:15:38

印度公积金账户数据被黑客窃取 影响2.8亿人
本月初,乌克兰网络安全研究人员BobDiachenko指出,包含印度2.8亿公积金账户的数据已被黑客泄露。

2022-08-09 23:20:30

黑客数据安全
GitHub源码被黑客洗劫和勒索事件 微软也未能幸免
Git仓库被黑客洗劫和勒索的事件,似乎微软也未能幸免。微软确认其开源开发平台昨天也被黑客要求支付款项才能归还他们窃取的数百个源码。

2019-05-05 07:48:30

GitHub代码开发者
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服