安基網 首頁 資訊 安全報 查看內容

微軟 GitHub 賬號 500GB 數據被黑客竊取,并聲稱要免費泄露,網安公司:這沒什么好怕 ...

2020-5-12 13:36| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日,據外媒報道,有黑客聲稱從微軟的私人 GitHub 存儲庫中竊取了超過 500GB 的數據,并聯系了 Bleeping Computer,聲稱他們已經獲得了對這個軟件巨頭的“私人”存儲庫的完全訪問權,并提供了證據。圖自:Bleeping ...

近日,據外媒報道,有黑客聲稱從微軟的私人 GitHub 存儲庫中竊取了超過 500GB 的數據,并聯系了 Bleeping Computer,聲稱他們已經獲得了對這個軟件巨頭的“私人”存儲庫的完全訪問權,并提供了證據。

圖自:Bleeping Computer

對此,一位網友悲觀的表示:

“什么都能被黑,再也不知道什么是安全的了”。

但有趣的是,這名黑客放棄了出售的計劃,現在決定免費泄露。

不知道微軟有沒有怕......

Shiny Hunters 是怎么黑進微軟私人倉庫的?

要偷數據,首先要發現漏洞。

根據泄漏文件的完整目錄列表中的文件戳記,該漏洞可能發生在 2020 年 3 月 28 日。

圖自:Bleeping Computer

Shiny Hunters 首先在黑客論壇上提供了 1GB 的文件,供注冊會員使用網站“信用”來獲取泄露的數據。

但由于一些泄露的文件包含中文文本或對 latelee.org 的引用,論壇上的其他威脅參與者并不認為這些數據是真實的。

根據 Shiny Hunters 發送到 BleepingComputer 的私有存儲庫的被盜數據和源代碼的完整目錄列表,被盜文件主要是代碼樣本、測試項目、電子書和其他通用項目。

而一些私有存儲庫看起來倒似乎更有趣一些,比如一些被命名為“wssd云代理”,一個“鐵銹/WinRT語言”項目,以及一個“ PowerSweep ”PowerShell 項目。

總的來說,從共享的內容來看,微軟似乎沒有什么值得擔心的,因為它沒有包含像視窗或辦公軟件這樣更敏感的代碼。

網絡安全情報公司 Under the Breach 也在黑客論壇上發現泄漏事件,并表示這沒什么好擔心的,因為黑客并未獲取到微軟任何主要核心項目的源代碼,比如 Windows 或 Office。

圖自:Twiteer

不過,有網友也表示,“泄露的數據是真的,但是沒有用處,微軟 GitHub 賬戶下的所有私有存儲庫意味著都是公開的,即使它們現在是私有的,最終它們會被公開。最重要的是 AzureDevOps 組織賬戶!”

但讓網絡安全情報公司 Under the Breach 擔心的是,像過去有些開發者一樣,私有 API 密鑰或密碼可能意外地遺留在一些私有存儲庫中,這個才是真正的隱患。

圖自:Bleeping Computer

目前,微軟正在調查中。

需要注意的是,此次入侵微軟 GitHub 賬戶的黑客 Shiny Hunters 是最近印尼電商平臺 Tokopedia 數據泄露的始作俑者。他在黑客論壇上出售 9100 萬 Tokopedia 賬戶數據,標價 5000 美元。

那么,有沒有可能,Shiny Hunters 在策劃更大的局,這一次只是想給微軟一個警告呢?

被黑客盯上的 GitHub 

作為全球程序員的大本營, GitHub 被黑客盯上也不是第一次了。

2018 年,Gentoo Linux 發行版的維護方發布了一份事件報告,稱此前有人劫持了該組織的一個 GitHub帳戶并植入了惡意代碼。

2019 年 4 月,Docker Hub 數據庫遭遇未授權人士訪問,并導致約 19 萬用戶的敏感信息曝光在外,這批信息包含一部分用戶名與散列密碼,以及 GitHub 與 Bitbucket 存儲庫的登錄令牌。目前,Github tokens 被撤銷,已禁用構建。

2019 年 5 月,GitHub 遭到黑客的攻擊勒索,程序員們托管在該網站上的源代碼和 Repo 都不見了。黑客要求這些受害者在十天內往特定賬戶支付 0.1 比特幣,否則他們將會公開代碼,或者以其他的方式使用。

那么,黑客為啥總是要薅 GitHub 的羊毛呢?

首先是開源社區的開放性。

根據 Snyk 2019 年開源安全現狀調查報告顯示,37% 的開源開發者在持續集成 (CI) 期間沒有實施任何類型的安全測試,54% 的開發者沒有對 Docker 鏡像進行任何安全測試。這也導致兩年時間內,各大平臺的應用程序漏洞數量增長了 88%。 GitHub 上排名前 40 萬的公共代碼庫中,僅 2.4% 有安全文檔。而 npm 和 Maven 中央倉庫的安全隱患尤其嚴重,而二者也是工具包數量增長最多的平臺。

圖自:Snyk 2019 年開源安全現狀調查報告

也就是說,這些代碼庫是沒有安全后門的,這豈不是為黑客打開大門嗎?

其次,是開源項目維護者自身的安全意識不高。

根據Snyk 2019 年開源安全現狀調查報告,在一個針對 500 多名開源項目維護者的調查中,只有 30% 不的開源工程師具有較高的安全意識。

圖自:Snyk 2019 年開源安全現狀調查報告

而一個更為嚴重的事實是,絕大多數企業的開發團隊,對開源軟件的使用都非常隨意,運維人員也無法知曉軟件系統中是否包含了開源軟件,包含了哪些開源軟件,以及這些軟件中是否存在安全漏洞。并且大多數云供應商在將企業數據上傳到集群之前都不會加密數據。

所以,程序員們和開發者們是時候留點心了。

最后一問,開源和安全,你選哪個?

參考資料:

[1]https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/

[2]https://www.zdnet.com/article/a-hacker-group-is-selling-more-than-73-million-user-records-on-the-dark-web/

[3]https://www.leiphone.com/news/201905/yu26E9ojKPl6MXSL.html

[4]http://www.199it.com/archives/839573.html

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://tech.sina.com.cn/roll/2020-05-11/doc-iirczymk1061817.shtml

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 业余赛车比赛 下载快乐12助手下载 下期双色球开出号码 股票怎么看k线图视 甘肃十一选五最大遗漏 融凯配资 江西11选5怎么买才会赢 快乐扑克3走势图表 辽宁11选五遗漏 手机上的五分彩能买吗