近日,据外媒报导,有骇客声称从微软的私人 GitHub 资料库中窃取了超过 500GB 的资料,并联繫了 Bleeping Computer,声称他们已经获得了对这个软体巨头的「私人」储存库的完全存取权限,并提供了证据。
对此,一位网友悲观的表示:
「什幺都能被骇,再也不知道什幺是安全的了。」
但有趣的是,这名骇客放弃了出售的计画,现在决定免费释出。
不知道微软有没有怕……
Shiny Hunters 是怎幺骇进微软私人仓库的?
要偷资料,首先要发现漏洞。根据洩漏文件的完整目录列表中的文件戳记,该漏洞可能发生在 2020 年 3 月 28 日。
Shiny Hunters 首先在骇客论坛上提供了 1GB 的文件,供注册会员使用网站「信用」来获取洩露的数据。
但由于一些洩露的文件包含中文文本或对 latelee.org 的引用,论坛上的其他威胁参与者并不认为这些数据是真实的。
根据 Shiny Hunters 发送到 BleepingComputer 的私有储存库的被盗数据和原始码的完整目录列表,被盗文件主要是程式码样本、测试项目、电子书和其他通用项目。
而一些私有储存库看起来倒似乎更有趣一些,比如一些被命名为「wssd 云端代理」,一个「铁鏽 / WinRT 语言」项目,以及一个「 PowerSweep 」PowerShell 项目。
总的来说,从共享的内容来看,微软似乎没有什幺值得担心的,因为它没有包含像视窗或办公软体这样更敏感的程式码。
网路安全情报公司 Under the Breach 也在骇客论坛上发现洩漏事件,并表示这没什幺好担心的,因为骇客并未获取到微软任何主要核心项目的原始码,比如 Windows 或 Office。
HUGE: The person behind the recent Tokopedia hack claiming he has 500GB (uncompressed) worth of private Microsoft source code, containing mostly Azure Source code, as well as Office and some windows runtime files / APIs.
Appears to be stolen from private Github repositories. pic.twitter.com/wKUOi0nDkk
— Under the Breach 🦠 (@underthebreach) May 6, 2020
不过,有网友也表示,「洩露的资料是真的,但是没有用处,微软 GitHub 帐号下的所有私有储存库意味着都是公开的,即使它们现在是私有的,最终它们会被公开。最重要的是 AzureDevOps 组织帐号!」
但让网路安全情报公司 Under the Breach 担心的是,像过去有些开发者一样,私有 API 密钥或密码可能意外地遗留在一些私有储存库中,这个才是真正的隐忧。
After some research and because the actor dumped the entire dirlist of the private repositories, it appears this is real.
I doubt there is anything too private in these repositories but companies do sometime leave keys/passwords on Github by mistake. pic.twitter.com/4L8s18hQA0
— Under the Breach 🦠 (@underthebreach) May 6, 2020
目前,微软正在调查中。
需要注意的是,此次入侵微软 GitHub 帐户的骇客 Shiny Hunters 是最近印尼电商平台 Tokopedia 数据洩露的始作俑者。他在骇客论坛上出售 9,100 万 Tokopedia 帐户数据,标价 5,000 美元。
那幺,有没有可能,Shiny Hunters 在策划更大的局,这一次只是想给微软一个警告呢?
被骇客盯上的 GitHub
做为全球程式开发者的大本营, GitHub 被骇客盯上也不是第一次了。
2018 年,Gentoo Linux 发行版本的维护方发布了一份事件报告,称之前有人劫持了该组织的一个 GitHub 帐户并植入了恶意程式码。
2019 年 4 月,Docker Hub 资料库遭遇未授权人士访问,并导致约 19 万用户的敏感讯息曝光在外,这批信息包含一部分用户名与散列密码,以及 GitHub 与 Bitbucket 资料库的 access token。目前,Github tokens 被注销,已禁用构建。
2019 年 5 月,GitHub 遭到骇客的攻击勒索,程式开发者託管在该网站上的原始码和 Repo 都不见了。骇客要求这些受害者在十天内往特定帐户支付 0.1 比特币,否则他们将会公开程式码,或者以其他的方式使用。
那幺,骇客为啥总是要针对 GitHub 呢?
首先是开源社群的开放性。
根据 Snyk 2019 年开源安全现状调查报告显示,37% 的开源开发者在持续整合(CI) 期间没有实施任何类型的安全测试,54% 的开发者没有对Docker 镜像进行任何安全测试。这也导致两年时间内,各大平台的应用程式漏洞数量增长了88%。GitHub 上排名前 40 万的公共程式码库中,仅 2.4% 有安全文档。而 npm 和 Maven 中央仓库的安全隐忧尤其严重,而两者也是工具包数量增长最多的平台。
也就是说,这些程式码库是没有安全后门的,这岂不是为骇客打开大门吗?
其次,是开源专案维护者自身的安全意识不高。
根据 Snyk 2019 年开源安全现状调查报告,在一个针对 500 多名开源项目维护者的调查中,只有 30% 不到的开源工程师具有较高的安全意识。
而一个更为严重的事实是,绝大多数企业的开发团队,对开源软体的使用都非常随意,运维人员也无法知晓软体系统中是否包含了开源软体,包含了哪些开源软体,以及这些软体中是否存在安全漏洞,并且大多数云端供应商在将企业数据上传到集群之前都不会加密资料。
所以,程式开发者们和开发者们是时候留点心了。最后一问,开源和安全,你选哪个?
- Microsoft’s GitHub account hacked, private repositories stolen
- A hacker group is selling more than 73 million user records on the dark web
- Snyk:2019年开源安全现状调查报告
