黑客获取了微软少量私有GitHub仓库的访问权限

3wthx

8 w* `3 h) A3 L! P/ @
一名黑客获得了一名微软员工的GitHub账户的访问权限，并下载了该公司的部分私有GitHub仓库。

% ?& Z: o0 E% N! h4 K8 u. D& t据信，此次入侵事件发生在3月份，本周被曝光，当时黑客宣布计划在一个黑客论坛上发布部分被盗项目。
* G+ d4 X0 n/ Y1 e" ]: S
虽然ZDNet已经向多名微软员工证实，至少有一小部分被盗文件是真实的，但我们被告知，黑客并没有获得任何主要的微软核心项目的源代码，比如Windows和Office等微软核心项目的源代码。

7 q4 v& C0 r3 h0 s/ }* I对这次泄密事件发表评论的微软员工告诉ZDNet，这类重大项目都是在微软内部托管，而不是在公司的公共GitHub门户上。
- h$ C1 Q2 Y! z& Y: p. @
据信，被黑客收购的私有版本库数量约为1200个。
! g/ t- t5 ^2 P: r! t
. E4 v7 K5 ]. l/ R, a微软的一位发言人今天早些时候告诉ZDNet，公司正在调查这一事件，但不想进一步评论。

4 u8 m8 c8 P) @( v没有任何实际的重要信息泄露

7 L" z5 L$ [3 N( q0 b在网络安全公司Nightlion Security和Under the Breach的帮助下，ZDNet获得了该黑客本周在网上分享的文件副本。
- X/ U8 w3 I3 U0 Q. h' O
3 U9 b" ~3 H  j) l, y& m4 N其中包括从微软的私人GitHub仓库中下载的所有文件和目录列表。
1 c) U5 P& W- A

1 b5 D1 O3 I. U9 g
0 m5 T9 h' B0 \2 l我们还收到了三个微软私人项目的项目，包括完整的源代码。




" g5 Z: t3 m2 }: a5 |本报记者和ZDNet的微软作家Mary Jo Foley昨天和今天就此事与微软多名软件工程师进行了匿名对话。目前有消息人士证实，黑客分享的列表中包含的文件和目录确实包含了微软GitHub账户中作为私有仓库存储的项目。
1 |6 t. J- H, ^5 y& Y& g, o, `
( Q: E8 P9 K, ?6 V2 F( v  J% J其他微软员工公开了他们的评估，也证实了这次泄密事件的真实性。

# W# J8 @+ @/ [, O
' u& M/ ]8 J- z
2 `/ M- }7 A5 o微软的工程师们最初在昨天告诉我们 "这次泄密是个骗局"，现在随着泄密的消息在公司内部传开，一些员工证实了部分真实性，他们已经收回了自己的评论。

那些公开评论泄露事件是骗局的员工也已经删除了自己的推文。

一条无中生有？
6 ^; R5 y1 v: b5 i, A
我们之所以说 "部分真实性"，是因为黑客列出的文件和目录中，有很大一部分似乎并不是微软相关的项目，或者说是已经公开多年的开源项目，与微软没有任何关系。目前还不清楚这些GitHub仓库是如何上了黑客的名单的。

ZDNet被告知，黑客获得的正版微软项目中，没有一个是敏感项目。按照内部政策，微软的GitHub账户是用来托管和分享开源项目和文档的。同时，微软GitHub账户也被用来托管未来将在开源许可下提供的私人项目。

此外，有员工表示，微软官方GitHub账户上托管的私人项目并不在黑客获取的文件列表中，这意味着威胁行为者只获得了微软账户中存储的部分非敏感信息。

唯一的敏感问题可能是一些项目可能包含了访问令牌和API凭证，而这些凭证现在可能需要被撤销。

8 H5 v) ?4 f/ E曾与黑客直接接触过的Breach下，今日向ZDNet表示，攻击者现在已经失去了对微软私有GitHub存储库的访问权限，因为微软员工似乎已经确定了被泄露的员工GitHub账户。
* o1 R( q5 Z' q3 W* T( S
此次事件的幕后黑客正是ZDNet周六披露的Tokopedia黑客事件的幕后黑客。

Mary Jo Foley的补充报道。