近日,據外媒報導,有駭客聲稱從微軟的私人 GitHub 資料庫中竊取了超過 500GB 的資料,並聯繫了 Bleeping Computer,聲稱他們已經獲得了對這個軟體巨頭的「私人」儲存庫的完全存取權限,並提供了證據。
(Source:Bleeping Computer,下同)
對此,一位網友悲觀的表示:
「什麼都能被駭,再也不知道什麼是安全的了。」
但有趣的是,這名駭客放棄了出售的計畫,現在決定免費釋出。
不知道微軟有沒有怕……
Shiny Hunters 是怎麼駭進微軟私人倉庫的?
要偷資料,首先要發現漏洞。根據洩漏文件的完整目錄列表中的文件戳記,該漏洞可能發生在 2020 年 3 月 28 日。
Shiny Hunters 首先在駭客論壇上提供了 1GB 的文件,供註冊會員使用網站「信用」來獲取洩露的數據。
但由於一些洩露的文件包含中文文本或對 latelee.org 的引用,論壇上的其他威脅參與者並不認為這些數據是真實的。
根據 Shiny Hunters 發送到 BleepingComputer 的私有儲存庫的被盜數據和原始碼的完整目錄列表,被盜文件主要是程式碼樣本、測試項目、電子書和其他通用項目。
而一些私有儲存庫看起來倒似乎更有趣一些,比如一些被命名為「wssd 雲端代理」,一個「鐵鏽 / WinRT 語言」項目,以及一個「 PowerSweep 」PowerShell 項目。
總的來說,從共享的內容來看,微軟似乎沒有什麼值得擔心的,因為它沒有包含像視窗或辦公軟體這樣更敏感的程式碼。
網路安全情報公司 Under the Breach 也在駭客論壇上發現洩漏事件,並表示這沒什麼好擔心的,因為駭客並未獲取到微軟任何主要核心項目的原始碼,比如 Windows 或 Office。
HUGE: The person behind the recent Tokopedia hack claiming he has 500GB (uncompressed) worth of private Microsoft source code, containing mostly Azure Source code, as well as Office and some windows runtime files / APIs.
Appears to be stolen from private Github repositories. pic.twitter.com/wKUOi0nDkk
— Under the Breach ? (@underthebreach) May 6, 2020
不過,有網友也表示,「洩露的資料是真的,但是沒有用處,微軟 GitHub 帳號下的所有私有儲存庫意味著都是公開的,即使它們現在是私有的,最終它們會被公開。最重要的是 AzureDevOps 組織帳號!」
但讓網路安全情報公司 Under the Breach 擔心的是,像過去有些開發者一樣,私有 API 密鑰或密碼可能意外地遺留在一些私有儲存庫中,這個才是真正的隱憂。
After some research and because the actor dumped the entire dirlist of the private repositories, it appears this is real.
I doubt there is anything too private in these repositories but companies do sometime leave keys/passwords on Github by mistake. pic.twitter.com/4L8s18hQA0
— Under the Breach ? (@underthebreach) May 6, 2020
目前,微軟正在調查中。
需要注意的是,此次入侵微軟 GitHub 帳戶的駭客 Shiny Hunters 是最近印尼電商平台 Tokopedia 數據洩露的始作俑者。他在駭客論壇上出售 9,100 萬 Tokopedia 帳戶數據,標價 5,000 美元。
那麼,有沒有可能,Shiny Hunters 在策劃更大的局,這一次只是想給微軟一個警告呢?
被駭客盯上的 GitHub
做為全球程式開發者的大本營, GitHub 被駭客盯上也不是第一次了。
2018 年,Gentoo Linux 發行版本的維護方發布了一份事件報告,稱之前有人劫持了該組織的一個 GitHub 帳戶並植入了惡意程式碼。
2019 年 4 月,Docker Hub 資料庫遭遇未授權人士訪問,並導致約 19 萬用戶的敏感訊息曝光在外,這批信息包含一部分用戶名與散列密碼,以及 GitHub 與 Bitbucket 資料庫的 access token。目前,Github tokens 被註銷,已禁用構建。
2019 年 5 月,GitHub 遭到駭客的攻擊勒索,程式開發者託管在該網站上的原始碼和 Repo 都不見了。駭客要求這些受害者在十天內往特定帳戶支付 0.1 比特幣,否則他們將會公開程式碼,或者以其他的方式使用。
那麼,駭客為啥總是要針對 GitHub 呢?
首先是開源社群的開放性。
根據 Snyk 2019 年開源安全現狀調查報告顯示,37% 的開源開發者在持續整合(CI) 期間沒有實施任何類型的安全測試,54% 的開發者沒有對Docker 鏡像進行任何安全測試。這也導致兩年時間內,各大平台的應用程式漏洞數量增長了88%。GitHub 上排名前 40 萬的公共程式碼庫中,僅 2.4% 有安全文檔。而 npm 和 Maven 中央倉庫的安全隱憂尤其嚴重,而兩者也是工具包數量增長最多的平台。
(Source:Snyk)
也就是說,這些程式碼庫是沒有安全後門的,這豈不是為駭客打開大門嗎?
其次,是開源專案維護者自身的安全意識不高。
根據 Snyk 2019 年開源安全現狀調查報告,在一個針對 500 多名開源項目維護者的調查中,只有 30% 不到的開源工程師具有較高的安全意識。
(Source:Snyk)
而一個更為嚴重的事實是,絕大多數企業的開發團隊,對開源軟體的使用都非常隨意,運維人員也無法知曉軟體系統中是否包含了開源軟體,包含了哪些開源軟體,以及這些軟體中是否存在安全漏洞,並且大多數雲端供應商在將企業數據上傳到集群之前都不會加密資料。
所以,程式開發者們和開發者們是時候留點心了。最後一問,開源和安全,你選哪個?
- Microsoft’s GitHub account hacked, private repositories stolen
- A hacker group is selling more than 73 million user records on the dark web
- Snyk:2019年開源安全現狀調查報告
(本文由 雷鋒網 授權轉載;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
