近日，據(jù)外媒報(bào)道，有黑客聲稱從微軟的私人 GitHub 存儲(chǔ)庫(kù)中竊取了超過(guò) 500GB 的數(shù)據(jù)，并聯(lián)系了 Bleeping Computer，聲稱他們已經(jīng)獲得了對(duì)這個(gè)軟件巨頭的“私人”存儲(chǔ)庫(kù)的完全訪問(wèn)權(quán)，并提供了證據(jù)。

圖自：Bleeping Computer

對(duì)此，一位網(wǎng)友悲觀的表示：

“什么都能被黑，再也不知道什么是安全的了”。

但有趣的是，這名黑客放棄了出售的計(jì)劃，現(xiàn)在決定免費(fèi)泄露。

不知道微軟有沒(méi)有怕......

Shiny Hunters 是怎么黑進(jìn)微軟私人倉(cāng)庫(kù)的？

要偷數(shù)據(jù)，首先要發(fā)現(xiàn)漏洞。

根據(jù)泄漏文件的完整目錄列表中的文件戳記，該漏洞可能發(fā)生在 2020 年 3 月 28 日。

圖自：Bleeping Computer

Shiny Hunters 首先在黑客論壇上提供了 1GB 的文件，供注冊(cè)會(huì)員使用網(wǎng)站“信用”來(lái)獲取泄露的數(shù)據(jù)。

但由于一些泄露的文件包含中文文本或?qū)?latelee.org 的引用，論壇上的其他威脅參與者并不認(rèn)為這些數(shù)據(jù)是真實(shí)的。

根據(jù) Shiny Hunters 發(fā)送到 BleepingComputer 的私有存儲(chǔ)庫(kù)的被盜數(shù)據(jù)和源代碼的完整目錄列表，被盜文件主要是代碼樣本、測(cè)試項(xiàng)目、電子書(shū)和其他通用項(xiàng)目。

而一些私有存儲(chǔ)庫(kù)看起來(lái)倒似乎更有趣一些，比如一些被命名為“wssd云代理”，一個(gè)“鐵銹/WinRT語(yǔ)言”項(xiàng)目，以及一個(gè)“ PowerSweep ”PowerShell 項(xiàng)目。

總的來(lái)說(shuō)，從共享的內(nèi)容來(lái)看，微軟似乎沒(méi)有什么值得擔(dān)心的，因?yàn)樗鼪](méi)有包含像視窗或辦公軟件這樣更敏感的代碼。

網(wǎng)絡(luò)安全情報(bào)公司 Under the Breach 也在黑客論壇上發(fā)現(xiàn)泄漏事件，并表示這沒(méi)什么好擔(dān)心的，因?yàn)楹诳筒⑽传@取到微軟任何主要核心項(xiàng)目的源代碼，比如 Windows 或 Office。

圖自：Twiteer

不過(guò)，有網(wǎng)友也表示，“泄露的數(shù)據(jù)是真的，但是沒(méi)有用處，微軟 GitHub 賬戶下的所有私有存儲(chǔ)庫(kù)意味著都是公開(kāi)的，即使它們現(xiàn)在是私有的，最終它們會(huì)被公開(kāi)。最重要的是 AzureDevOps 組織賬戶！”

但讓網(wǎng)絡(luò)安全情報(bào)公司 Under the Breach 擔(dān)心的是，像過(guò)去有些開(kāi)發(fā)者一樣，私有 API 密鑰或密碼可能意外地遺留在一些私有存儲(chǔ)庫(kù)中，這個(gè)才是真正的隱患。

圖自：Bleeping Computer

目前，微軟正在調(diào)查中。

需要注意的是，此次入侵微軟 GitHub 賬戶的黑客 Shiny Hunters 是最近印尼電商平臺(tái) Tokopedia 數(shù)據(jù)泄露的始作俑者。他在黑客論壇上出售 9100 萬(wàn) Tokopedia 賬戶數(shù)據(jù)，標(biāo)價(jià) 5000 美元。

那么，有沒(méi)有可能，Shiny Hunters 在策劃更大的局，這一次只是想給微軟一個(gè)警告呢？

被黑客盯上的 GitHub 

作為全球程序員的大本營(yíng)， GitHub 被黑客盯上也不是第一次了。

2018 年，Gentoo Linux 發(fā)行版的維護(hù)方發(fā)布了一份事件報(bào)告，稱此前有人劫持了該組織的一個(gè) GitHub帳戶并植入了惡意代碼。

2019 年 4 月，Docker Hub 數(shù)據(jù)庫(kù)遭遇未授權(quán)人士訪問(wèn)，并導(dǎo)致約 19 萬(wàn)用戶的敏感信息曝光在外，這批信息包含一部分用戶名與散列密碼，以及 GitHub 與 Bitbucket 存儲(chǔ)庫(kù)的登錄令牌。目前，Github tokens 被撤銷，已禁用構(gòu)建。

2019 年 5 月，GitHub 遭到黑客的攻擊勒索，程序員們托管在該網(wǎng)站上的源代碼和 Repo 都不見(jiàn)了。黑客要求這些受害者在十天內(nèi)往特定賬戶支付 0.1 比特幣，否則他們將會(huì)公開(kāi)代碼，或者以其他的方式使用。

那么，黑客為啥總是要薅 GitHub 的羊毛呢？

首先是開(kāi)源社區(qū)的開(kāi)放性。

根據(jù) Snyk 2019 年開(kāi)源安全現(xiàn)狀調(diào)查報(bào)告顯示，37％ 的開(kāi)源開(kāi)發(fā)者在持續(xù)集成 (CI) 期間沒(méi)有實(shí)施任何類型的安全測(cè)試，54％ 的開(kāi)發(fā)者沒(méi)有對(duì) Docker 鏡像進(jìn)行任何安全測(cè)試。這也導(dǎo)致兩年時(shí)間內(nèi)，各大平臺(tái)的應(yīng)用程序漏洞數(shù)量增長(zhǎng)了 88％。 GitHub 上排名前 40 萬(wàn)的公共代碼庫(kù)中，僅 2.4% 有安全文檔。而 npm 和 Maven 中央倉(cāng)庫(kù)的安全隱患尤其嚴(yán)重，而二者也是工具包數(shù)量增長(zhǎng)最多的平臺(tái)。

圖自：Snyk 2019 年開(kāi)源安全現(xiàn)狀調(diào)查報(bào)告

也就是說(shuō)，這些代碼庫(kù)是沒(méi)有安全后門的，這豈不是為黑客打開(kāi)大門嗎？

其次，是開(kāi)源項(xiàng)目維護(hù)者自身的安全意識(shí)不高。

根據(jù)Snyk 2019 年開(kāi)源安全現(xiàn)狀調(diào)查報(bào)告，在一個(gè)針對(duì) 500 多名開(kāi)源項(xiàng)目維護(hù)者的調(diào)查中，只有 30% 不的開(kāi)源工程師具有較高的安全意識(shí)。

圖自：Snyk 2019 年開(kāi)源安全現(xiàn)狀調(diào)查報(bào)告

而一個(gè)更為嚴(yán)重的事實(shí)是，絕大多數(shù)企業(yè)的開(kāi)發(fā)團(tuán)隊(duì)，對(duì)開(kāi)源軟件的使用都非常隨意，運(yùn)維人員也無(wú)法知曉軟件系統(tǒng)中是否包含了開(kāi)源軟件，包含了哪些開(kāi)源軟件，以及這些軟件中是否存在安全漏洞。并且大多數(shù)云供應(yīng)商在將企業(yè)數(shù)據(jù)上傳到集群之前都不會(huì)加密數(shù)據(jù)。

所以，程序員們和開(kāi)發(fā)者們是時(shí)候留點(diǎn)心了。

最后一問(wèn)，開(kāi)源和安全，你選哪個(gè)？

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

[1]https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/

[2]https://www.zdnet.com/article/a-hacker-group-is-selling-more-than-73-million-user-records-on-the-dark-web/

[3]http://m.ozgbdpf.cn/news/201905/yu26E9ojKPl6MXSL.html

[4]http://www.199it.com/archives/839573.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。