近日，有一名為Shiny Hunters的黑客聯(lián)系BleepingComputer稱(chēng)黑掉了微軟的GitHub賬號(hào)，并獲得了其所有Private庫(kù)的訪問(wèn)權(quán)限。

黑客證明有微軟私有GitHub庫(kù)的訪問(wèn)權(quán)限

Shiny Hunters稱(chēng)，本來(lái)想將這500GB的私有項(xiàng)目數(shù)據(jù)出售，但最終決定將其免費(fèi)開(kāi)放。

基于泄露的文件的文件時(shí)間戳，研究人員推斷這期數(shù)據(jù)泄露的發(fā)生時(shí)間應(yīng)該是2020年3月28日，至今已經(jīng)過(guò)去1個(gè)多月。

表明泄露日期的泄露數(shù)據(jù)

Shiny Hunters稱(chēng)目前已經(jīng)無(wú)法訪問(wèn)該賬號(hào)。

Shiny Hunters在黑客論壇上提供了約1GB的泄露數(shù)據(jù)文件供注冊(cè)用戶(hù)下載，雖然不收取費(fèi)用，但需要支付站點(diǎn)的積分。

其中泄露的文件中包含中文文本或引用了latelee.org或中文文本，有黑客在論壇上回復(fù)說(shuō)數(shù)據(jù)可能并不是真的。

研究人員根據(jù)Shiny Hunters發(fā)給BleepingComputer的目錄列表和樣本數(shù)據(jù)分析，發(fā)現(xiàn)這些被竊的數(shù)據(jù)主要是代碼樣本、處于測(cè)試期的項(xiàng)目、電子書(shū)和其他通用內(nèi)容。

其他一些有意思的項(xiàng)目包括'wssd cloud agent'，是一個(gè)Rust/WinRT語(yǔ)言翻譯的項(xiàng)目、和一個(gè)PowerShell項(xiàng)目——'PowerSweep'。

總的來(lái)看，泄露的數(shù)據(jù)中并沒(méi)有Windows或office源碼這樣的重要數(shù)據(jù)。

網(wǎng)絡(luò)情報(bào)公司Under the Breach稱(chēng)可能是私有API密鑰或口令意外保存在一些私有倉(cāng)庫(kù)中了，之前也有開(kāi)發(fā)人員做過(guò)類(lèi)似的事情。

但微軟員工Sam Smith在發(fā)推稱(chēng)這起數(shù)據(jù)泄露事件可能是假的，因?yàn)槲④浻幸粋€(gè)規(guī)則：GitHub倉(cāng)庫(kù)必須在30天內(nèi)公開(kāi)。

BleepingComputer也聯(lián)系了微軟來(lái)確認(rèn)該事件的真實(shí)性，但截止目前還沒(méi)有得到回復(fù)。