近日，據(jù)外媒報道，有黑客聲稱從微軟的私人 GitHub 存儲庫中竊取了超過 500GB 的數(shù)據(jù)，并聯(lián)系了 Bleeping Computer，聲稱他們已經(jīng)獲得了對這個軟件巨頭的“私人”存儲庫的完全訪問權(quán)，并提供了證據(jù)。

圖自：Bleeping Computer

對此，一位網(wǎng)友悲觀的表示：

“什么都能被黑，再也不知道什么是安全的了”。

但有趣的是，這名黑客放棄了出售的計劃，現(xiàn)在決定免費泄露。

不知道微軟有沒有怕......

Shiny Hunters 是怎么黑進微軟私人倉庫的？

要偷數(shù)據(jù)，首先要發(fā)現(xiàn)漏洞。

根據(jù)泄漏文件的完整目錄列表中的文件戳記，該漏洞可能發(fā)生在 2020 年 3 月 28 日。

圖自：Bleeping Computer

Shiny Hunters 首先在黑客論壇上提供了 1GB 的文件，供注冊會員使用網(wǎng)站“信用”來獲取泄露的數(shù)據(jù)。

但由于一些泄露的文件包含中文文本或?qū)?latelee.org 的引用，論壇上的其他威脅參與者并不認為這些數(shù)據(jù)是真實的。

根據(jù) Shiny Hunters 發(fā)送到 BleepingComputer 的私有存儲庫的被盜數(shù)據(jù)和源代碼的完整目錄列表，被盜文件主要是代碼樣本、測試項目、電子書和其他通用項目。

而一些私有存儲庫看起來倒似乎更有趣一些，比如一些被命名為“wssd云代理”，一個“鐵銹/WinRT語言”項目，以及一個“ PowerSweep ”PowerShell 項目。

總的來說，從共享的內(nèi)容來看，微軟似乎沒有什么值得擔(dān)心的，因為它沒有包含像視窗或辦公軟件這樣更敏感的代碼。

網(wǎng)絡(luò)安全情報公司 Under the Breach 也在黑客論壇上發(fā)現(xiàn)泄漏事件，并表示這沒什么好擔(dān)心的，因為黑客并未獲取到微軟任何主要核心項目的源代碼，比如 Windows 或 Office。

圖自：Twiteer

不過，有網(wǎng)友也表示，“泄露的數(shù)據(jù)是真的，但是沒有用處，微軟 GitHub 賬戶下的所有私有存儲庫意味著都是公開的，即使它們現(xiàn)在是私有的，最終它們會被公開。最重要的是 AzureDevOps 組織賬戶！”

但讓網(wǎng)絡(luò)安全情報公司 Under the Breach 擔(dān)心的是，像過去有些開發(fā)者一樣，私有 API 密鑰或密碼可能意外地遺留在一些私有存儲庫中，這個才是真正的隱患。

圖自：Bleeping Computer

目前，微軟正在調(diào)查中。

需要注意的是，此次入侵微軟 GitHub 賬戶的黑客 Shiny Hunters 是最近印尼電商平臺 Tokopedia 數(shù)據(jù)泄露的始作俑者。他在黑客論壇上出售 9100 萬 Tokopedia 賬戶數(shù)據(jù)，標(biāo)價 5000 美元。

那么，有沒有可能，Shiny Hunters 在策劃更大的局，這一次只是想給微軟一個警告呢？

被黑客盯上的 GitHub 

作為全球程序員的大本營， GitHub 被黑客盯上也不是第一次了。

2018 年，Gentoo Linux 發(fā)行版的維護方發(fā)布了一份事件報告，稱此前有人劫持了該組織的一個 GitHub帳戶并植入了惡意代碼。

2019 年 4 月，Docker Hub 數(shù)據(jù)庫遭遇未授權(quán)人士訪問，并導(dǎo)致約 19 萬用戶的敏感信息曝光在外，這批信息包含一部分用戶名與散列密碼，以及 GitHub 與 Bitbucket 存儲庫的登錄令牌。目前，Github tokens 被撤銷，已禁用構(gòu)建。

2019 年 5 月，GitHub 遭到黑客的攻擊勒索，程序員們托管在該網(wǎng)站上的源代碼和 Repo 都不見了。黑客要求這些受害者在十天內(nèi)往特定賬戶支付 0.1 比特幣，否則他們將會公開代碼，或者以其他的方式使用。

那么，黑客為啥總是要薅 GitHub 的羊毛呢？

首先是開源社區(qū)的開放性。

根據(jù) Snyk 2019 年開源安全現(xiàn)狀調(diào)查報告顯示，37％ 的開源開發(fā)者在持續(xù)集成 (CI) 期間沒有實施任何類型的安全測試，54％ 的開發(fā)者沒有對 Docker 鏡像進行任何安全測試。這也導(dǎo)致兩年時間內(nèi)，各大平臺的應(yīng)用程序漏洞數(shù)量增長了 88％。 GitHub 上排名前 40 萬的公共代碼庫中，僅 2.4% 有安全文檔。而 npm 和 Maven 中央倉庫的安全隱患尤其嚴(yán)重，而二者也是工具包數(shù)量增長最多的平臺。

圖自：Snyk 2019 年開源安全現(xiàn)狀調(diào)查報告

也就是說，這些代碼庫是沒有安全后門的，這豈不是為黑客打開大門嗎？

其次，是開源項目維護者自身的安全意識不高。

根據(jù)Snyk 2019 年開源安全現(xiàn)狀調(diào)查報告，在一個針對 500 多名開源項目維護者的調(diào)查中，只有 30% 不的開源工程師具有較高的安全意識。

圖自：Snyk 2019 年開源安全現(xiàn)狀調(diào)查報告

而一個更為嚴(yán)重的事實是，絕大多數(shù)企業(yè)的開發(fā)團隊，對開源軟件的使用都非常隨意，運維人員也無法知曉軟件系統(tǒng)中是否包含了開源軟件，包含了哪些開源軟件，以及這些軟件中是否存在安全漏洞。并且大多數(shù)云供應(yīng)商在將企業(yè)數(shù)據(jù)上傳到集群之前都不會加密數(shù)據(jù)。

所以，程序員們和開發(fā)者們是時候留點心了。

最后一問，開源和安全，你選哪個？

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

[1]https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/

[2]https://www.zdnet.com/article/a-hacker-group-is-selling-more-than-73-million-user-records-on-the-dark-web/

[3]http://www.ozgbdpf.cn/news/201905/yu26E9ojKPl6MXSL.html

[4]http://www.199it.com/archives/839573.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。