微軟 GitHub 賬號 500GB 數據被黑客竊取,并聲稱要免費泄露,網安公司:這沒什么好怕的!
本文轉自雷鋒網,如需轉載請至雷鋒網官網申請授權。
近日,據外媒報道,有黑客聲稱從微軟的私人 GitHub 存儲庫中竊取了超過 500GB 的數據,并聯系了 Bleeping Computer,聲稱他們已經獲得了對這個軟件巨頭的“私人”存儲庫的完全訪問權,并提供了證據。
圖自:Bleeping Computer
對此,一位網友悲觀的表示:
“什么都能被黑,再也不知道什么是安全的了”。
但有趣的是,這名黑客放棄了出售的計劃,現在決定免費泄露。
不知道微軟有沒有怕......
Shiny Hunters 是怎么黑進微軟私人倉庫的?
要偷數據,首先要發現漏洞。
根據泄漏文件的完整目錄列表中的文件戳記,該漏洞可能發生在 2020 年 3 月 28 日。
圖自:Bleeping Computer
Shiny Hunters 首先在黑客論壇上提供了 1GB 的文件,供注冊會員使用網站“信用”來獲取泄露的數據。
但由于一些泄露的文件包含中文文本或對 latelee.org 的引用,論壇上的其他威脅參與者并不認為這些數據是真實的。
根據 Shiny Hunters 發送到 BleepingComputer 的私有存儲庫的被盜數據和源代碼的完整目錄列表,被盜文件主要是代碼樣本、測試項目、電子書和其他通用項目。
而一些私有存儲庫看起來倒似乎更有趣一些,比如一些被命名為“wssd云代理”,一個“鐵銹/WinRT語言”項目,以及一個“ PowerSweep ”PowerShell 項目。
總的來說,從共享的內容來看,微軟似乎沒有什么值得擔心的,因為它沒有包含像視窗或辦公軟件這樣更敏感的代碼。
網絡安全情報公司 Under the Breach 也在黑客論壇上發現泄漏事件,并表示這沒什么好擔心的,因為黑客并未獲取到微軟任何主要核心項目的源代碼,比如 Windows 或 Office。
圖自:Twiteer
不過,有網友也表示,“泄露的數據是真的,但是沒有用處,微軟 GitHub 賬戶下的所有私有存儲庫意味著都是公開的,即使它們現在是私有的,最終它們會被公開。最重要的是 AzureDevOps 組織賬戶!”
但讓網絡安全情報公司 Under the Breach 擔心的是,像過去有些開發者一樣,私有 API 密鑰或密碼可能意外地遺留在一些私有存儲庫中,這個才是真正的隱患。
圖自:Bleeping Computer
目前,微軟正在調查中。
需要注意的是,此次入侵微軟 GitHub 賬戶的黑客 Shiny Hunters 是最近印尼電商平臺 Tokopedia 數據泄露的始作俑者。他在黑客論壇上出售 9100 萬 Tokopedia 賬戶數據,標價 5000 美元。
那么,有沒有可能,Shiny Hunters 在策劃更大的局,這一次只是想給微軟一個警告呢?
被黑客盯上的 GitHub
作為全球程序員的大本營, GitHub 被黑客盯上也不是第一次了。
2018 年,Gentoo Linux 發行版的維護方發布了一份事件報告,稱此前有人劫持了該組織的一個 GitHub帳戶并植入了惡意代碼。
2019 年 4 月,Docker Hub 數據庫遭遇未授權人士訪問,并導致約 19 萬用戶的敏感信息曝光在外,這批信息包含一部分用戶名與散列密碼,以及 GitHub 與 Bitbucket 存儲庫的登錄令牌。目前,Github tokens 被撤銷,已禁用構建。
2019 年 5 月,GitHub 遭到黑客的攻擊勒索,程序員們托管在該網站上的源代碼和 Repo 都不見了。黑客要求這些受害者在十天內往特定賬戶支付 0.1 比特幣,否則他們將會公開代碼,或者以其他的方式使用。
那么,黑客為啥總是要薅 GitHub 的羊毛呢?
首先是開源社區的開放性。
根據 Snyk 2019 年開源安全現狀調查報告顯示,37% 的開源開發者在持續集成 (CI) 期間沒有實施任何類型的安全測試,54% 的開發者沒有對 Docker 鏡像進行任何安全測試。這也導致兩年時間內,各大平臺的應用程序漏洞數量增長了 88%。 GitHub 上排名前 40 萬的公共代碼庫中,僅 2.4% 有安全文檔。而 npm 和 Maven 中央倉庫的安全隱患尤其嚴重,而二者也是工具包數量增長最多的平臺。
圖自:Snyk 2019 年開源安全現狀調查報告
也就是說,這些代碼庫是沒有安全后門的,這豈不是為黑客打開大門嗎?
其次,是開源項目維護者自身的安全意識不高。
根據Snyk 2019 年開源安全現狀調查報告,在一個針對 500 多名開源項目維護者的調查中,只有 30% 不的開源工程師具有較高的安全意識。
圖自:Snyk 2019 年開源安全現狀調查報告
而一個更為嚴重的事實是,絕大多數企業的開發團隊,對開源軟件的使用都非常隨意,運維人員也無法知曉軟件系統中是否包含了開源軟件,包含了哪些開源軟件,以及這些軟件中是否存在安全漏洞。并且大多數云供應商在將企業數據上傳到集群之前都不會加密數據。
所以,程序員們和開發者們是時候留點心了。
最后一問,開源和安全,你選哪個?
