黑客 Shiny Hunters 声称窃取了微软 GitHub 账号超 500GB 数据并决定免费泄露,但微软核心项目代码未受影响,潜在风险在于可能遗留的私有 API 密钥或密码。 以下是详细分析:
主要为代码样本、测试项目、电子书和其他通用项目。
部分私有存储库包含“wssd 云代理”、“铁锈/WinRT 语言”项目、“PowerSweep”PowerShell 项目等。
网络安全情报公司 Under the Breach 指出,黑客未获取微软主要核心项目源代码,如 Windows 或 Office。
从共享内容看,微软无需过度担心,因未泄露敏感代码。
开发者可能在私有存储库中意外遗留私有 API 密钥或密码,这才是真正隐患。
若这些信息被泄露,可能导致微软或相关用户面临安全风险。
有网友认为泄露数据虽真实但无用,因微软 GitHub 账户下的私有存储库最终会公开。
但也有网友强调 AzureDevOps 组织账户的重要性,担心其安全。
Shiny Hunters 是印尼电商平台 Tokopedia 数据泄露的始作俑者,曾在黑客论坛出售 9100 万 Tokopedia 账户数据,标价 5000 美元。
有猜测认为 Shiny Hunters 可能在策划更大布局,此次攻击只是给微软一个警告。
根据 Snyk 2019 年开源安全现状调查报告,37%的开源开发者在持续集成期间未实施安全测试,54%的开发者未对 Docker 镜像进行安全测试。
GitHub 上排名前 40 万的公共代码库中,仅 2.4%有安全文档,npm 和 Maven 中央仓库安全隐患尤为严重。
针对 500 多名开源项目维护者的调查显示,仅 30%的开源工程师具有较高安全意识。
绝大多数企业开发团队对开源软件使用随意,运维人员无法知晓软件系统中是否包含开源软件及其安全漏洞。
大多数云供应商在将企业数据上传到集群前未加密数据。
