“我們已經成功入侵微軟的GitHub私人儲存庫，并從中竊取了500GB的數據，本來打算再暗網上出售的，現在改變主意了，打算免費發布。”

一名自稱Shiny Hunters的黑客主動聯系了一家國外媒體，聲稱其已經入侵微軟GitHub賬戶，獲取了這家軟件巨頭私人存儲庫的完全訪問權。

同時，為了證明入侵成功，黑客還出示了微軟私人存儲庫的證據，如下圖所示：

不僅如此，黑客還主動袒露自己的計劃，原本打算在暗網出售這些數據，現在打算直接泄露。此外，他還提供了一部分竊取文件，從以下的文件截圖可以看到，這些數據泄露可以追溯至2020年3月28日。

隨后，Shiny Hunters在黑客論壇上公開1GB文件，作為預熱，該論壇網站的注冊成員可以通過網站“Credit”來訪問數據。

這些泄露的數據文件中，某些包含了中文文本或是引用了latelee.org，這讓數據的真實性遭到了論壇其他黑客的懷疑。此外，這些數據似乎大都是代碼樣本、測試項目、電子書和其他常規項目。

一些例如名為“ wssd云代理”，“ Rust / WinRT語言投影”和“ PowerSweep” PowerShell項目的私人存儲庫更吸引人，但總體而言，從分享的數據內容來看，并沒有發現Windows或Office等影響較大的源代碼。

在黑客論壇上看到漏洞的網絡情報公司Under Breach也認為問題不大。唯一讓他們擔心的是，是否會有像過去其他開發人員那樣，私有API密鑰或密碼可能會意外地遺留在某些私有存儲庫中，這種情況就不得而知，且比較危險了。

微軟員工山姆·史密斯(Sam Smith)在Under Breach的推文中回復說，他認為該泄漏是偽造的，因為“ Msft有一個“規則”，規定GitHub存儲庫必須在30天內公開。但是目前該回復已經刪除。

值得注意的是，Under Breach在推特中還提及，此次入侵GitHub背后的黑客Shiny Hunters是前兩天印度尼西亞最大電子商務平臺Tokopedia數據泄露的始作俑者。那次出售包含1500萬的用戶記錄，而這只是泄露數據總量的一部分，完整用戶記錄高達9000萬條，售價只有5000美元。

其中包含大量用戶敏感信息，例如全名、電子郵件、電話號碼、哈希密碼、生日和與Tokopedia個人資料相關的詳細信息(帳戶創建日期、上次登錄名、電子郵件激活碼、密碼重置代碼、位置詳細信息、Messenger ID、愛好、教育、“關于我的領域”等等)。

這名黑客作案頻頻，而此次微軟對其舉動尚未回復，這些文件是否確實是合法文件如今尚且無法確認，本文將持續跟進。