微软 GitHub 账号被黑，500GB 数据被窃取

近日，有一名为 Shiny Hunters 的黑客联系 BleepingComputer 称黑掉了微软的 GitHub 账号，并获得了其所有 Private 库的访问权限。

黑客证明有微软私有 GitHub 库的访问权限

Shiny Hunters 称，本来想将这 500GB 的私有项目数据出售，但最终决定将其免费开放。

基于泄露的文件的文件时间戳，研究人员推断这期数据泄露的发生时间应该是 2020 年 3 月 28 日，至今已经过去 1 个多月。

表明泄露日期的泄露数据

Shiny Hunters 称目前已经无法访问该账号。

Shiny Hunters 在黑客论坛上提供了约 1GB 的泄露数据文件供注册用户下载，虽然不收取费用，但需要支付站点的积分。

其中泄露的文件中包含中文文本或引用了 latelee.org 或中文文本，有黑客在论坛上回复说数据可能并不是真的。

研究人员根据 Shiny Hunters 发给 BleepingComputer 的目录列表和样本数据分析，发现这些被窃的数据主要是代码样本、处于测试期的项目、电子书和其他通用内容。

其他一些有意思的项目包括 \'wssd cloud agent\'，是一个 Rust/WinRT 语言翻译的项目、和一个 PowerShell 项目—— \'PowerSweep\'。

总的来看，泄露的数据中并没有 Windows 或 office 源码这样的重要数据。

网络情报公司 Under the Breach 称可能是私有 API 密钥或口令意外保存在一些私有仓库中了，之前也有开发人员做过类似的事情。

但微软员工 Sam Smith 在发推称这起数据泄露事件可能是假的，因为微软有一个规则：GitHub 仓库必须在 30 天内公开。

BleepingComputer 也联系了微软来确认该事件的真实性，但截止目前还没有得到回复。