动象论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 24 | 回复: 0

黑客获取了微软少量私有GitHub仓库的访问权限

[复制链接]

73

主题

197

帖子

338

积分

初来乍练

Rank: 2

积分
338

最佳新人灌水之王

发表于 2020-5-8 11:50:01 | 显示全部楼层 |阅读模式
本帖最后由 whvirus 于 2020-5-8 11:53 编辑

一名黑客获得了一名微软员工的GitHub账户的访问权限,并下载了该公司的部分私有GitHub仓库。

据信,此次入侵事件发生在3月份,本周被曝光,当时黑客宣布计划在一个黑客论坛上发布部分被盗项目。

虽然ZDNet已经向多名微软员工证实,至少有一小部分被盗文件是真实的,但我们被告知,黑客并没有获得任何主要的微软核心项目的源代码,比如Windows和Office等微软核心项目的源代码。

对这次泄密事件发表评论的微软员工告诉ZDNet,这类重大项目都是在微软内部托管,而不是在公司的公共GitHub门户上。

据信,被黑客收购的私有版本库数量约为1200个。

微软的一位发言人今天早些时候告诉ZDNet,公司正在调查这一事件,但不想进一步评论。

没有任何实际的重要信息泄露

在网络安全公司Nightlion Security和Under the Breach的帮助下,ZDNet获得了该黑客本周在网上分享的文件副本。

其中包括从微软的私人GitHub仓库中下载的所有文件和目录列表。



我们还收到了三个微软私人项目的项目,包括完整的源代码。




本报记者和ZDNet的微软作家Mary Jo Foley昨天和今天就此事与微软多名软件工程师进行了匿名对话。目前有消息人士证实,黑客分享的列表中包含的文件和目录确实包含了微软GitHub账户中作为私有仓库存储的项目。

其他微软员工公开了他们的评估,也证实了这次泄密事件的真实性。



微软的工程师们最初在昨天告诉我们 "这次泄密是个骗局",现在随着泄密的消息在公司内部传开,一些员工证实了部分真实性,他们已经收回了自己的评论。

那些公开评论泄露事件是骗局的员工也已经删除了自己的推文。

一条无中生有?


我们之所以说 "部分真实性",是因为黑客列出的文件和目录中,有很大一部分似乎并不是微软相关的项目,或者说是已经公开多年的开源项目,与微软没有任何关系。目前还不清楚这些GitHub仓库是如何上了黑客的名单的。

ZDNet被告知,黑客获得的正版微软项目中,没有一个是敏感项目。按照内部政策,微软的GitHub账户是用来托管和分享开源项目和文档的。同时,微软GitHub账户也被用来托管未来将在开源许可下提供的私人项目。

此外,有员工表示,微软官方GitHub账户上托管的私人项目并不在黑客获取的文件列表中,这意味着威胁行为者只获得了微软账户中存储的部分非敏感信息。

唯一的敏感问题可能是一些项目可能包含了访问令牌和API凭证,而这些凭证现在可能需要被撤销。

曾与黑客直接接触过的Breach下,今日向ZDNet表示,攻击者现在已经失去了对微软私有GitHub存储库的访问权限,因为微软员工似乎已经确定了被泄露的员工GitHub账户。

此次事件的幕后黑客正是ZDNet周六披露的Tokopedia黑客事件的幕后黑客。

Mary Jo Foley的补充报道。
动象论坛欢迎您!文明发帖,理性交流!(๑`・ᴗ・´๑)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

 QQ 手机版小黑屋网站地图

GMT+8, 2021-7-25 08:36 Processed in 0.185693 second(s), 21 queries .

CopyRight © 2020-2021 DongXiang BBS. All Rights Reserved.

ICP备案号:粤ICP备17035028号-1

Sectigo签章 MySSL签章

快速回复 返回顶部 返回列表