黑客获取了微软少量私有GitHub仓库的访问权限

3wthx

一名黑客获得了一名微软员工的GitHub账户的访问权限，并下载了该公司的部分私有GitHub仓库。

据信，此次入侵事件发生在3月份，本周被曝光，当时黑客宣布计划在一个黑客论坛上发布部分被盗项目。

虽然ZDNet已经向多名微软员工证实，至少有一小部分被盗文件是真实的，但我们被告知，黑客并没有获得任何主要的微软核心项目的源代码，比如Windows和Office等微软核心项目的源代码。

对这次泄密事件发表评论的微软员工告诉ZDNet，这类重大项目都是在微软内部托管，而不是在公司的公共GitHub门户上。

据信，被黑客收购的私有版本库数量约为1200个。

微软的一位发言人今天早些时候告诉ZDNet，公司正在调查这一事件，但不想进一步评论。

没有任何实际的重要信息泄露

在网络安全公司Nightlion Security和Under the Breach的帮助下，ZDNet获得了该黑客本周在网上分享的文件副本。

其中包括从微软的私人GitHub仓库中下载的所有文件和目录列表。



我们还收到了三个微软私人项目的项目，包括完整的源代码。




本报记者和ZDNet的微软作家Mary Jo Foley昨天和今天就此事与微软多名软件工程师进行了匿名对话。目前有消息人士证实，黑客分享的列表中包含的文件和目录确实包含了微软GitHub账户中作为私有仓库存储的项目。

其他微软员工公开了他们的评估，也证实了这次泄密事件的真实性。



微软的工程师们最初在昨天告诉我们 "这次泄密是个骗局"，现在随着泄密的消息在公司内部传开，一些员工证实了部分真实性，他们已经收回了自己的评论。

那些公开评论泄露事件是骗局的员工也已经删除了自己的推文。

一条无中生有？

我们之所以说 "部分真实性"，是因为黑客列出的文件和目录中，有很大一部分似乎并不是微软相关的项目，或者说是已经公开多年的开源项目，与微软没有任何关系。目前还不清楚这些GitHub仓库是如何上了黑客的名单的。

ZDNet被告知，黑客获得的正版微软项目中，没有一个是敏感项目。按照内部政策，微软的GitHub账户是用来托管和分享开源项目和文档的。同时，微软GitHub账户也被用来托管未来将在开源许可下提供的私人项目。

此外，有员工表示，微软官方GitHub账户上托管的私人项目并不在黑客获取的文件列表中，这意味着威胁行为者只获得了微软账户中存储的部分非敏感信息。

唯一的敏感问题可能是一些项目可能包含了访问令牌和API凭证，而这些凭证现在可能需要被撤销。

曾与黑客直接接触过的Breach下，今日向ZDNet表示，攻击者现在已经失去了对微软私有GitHub存储库的访问权限，因为微软员工似乎已经确定了被泄露的员工GitHub账户。

此次事件的幕后黑客正是ZDNet周六披露的Tokopedia黑客事件的幕后黑客。

Mary Jo Foley的补充报道。