近日，有一名為Shiny Hunters的黑客聯(lián)系BleepingComputer稱黑掉了微軟的GitHub賬號，并獲得了其所有Private庫的訪問權(quán)限。

黑客證明有微軟私有GitHub庫的訪問權(quán)限

Shiny Hunters稱，本來想將這500GB的私有項(xiàng)目數(shù)據(jù)出售，但最終決定將其免費(fèi)開放。

基于泄露的文件的文件時間戳，研究人員推斷這期數(shù)據(jù)泄露的發(fā)生時間應(yīng)該是2020年3月28日，至今已經(jīng)過去1個多月。

表明泄露日期的泄露數(shù)據(jù)

Shiny Hunters稱目前已經(jīng)無法訪問該賬號。

Shiny Hunters在黑客論壇上提供了約1GB的泄露數(shù)據(jù)文件供注冊用戶下載，雖然不收取費(fèi)用，但需要支付站點(diǎn)的積分。

其中泄露的文件中包含中文文本或引用了latelee.org或中文文本，有黑客在論壇上回復(fù)說數(shù)據(jù)可能并不是真的。

研究人員根據(jù)Shiny Hunters發(fā)給BleepingComputer的目錄列表和樣本數(shù)據(jù)分析，發(fā)現(xiàn)這些被竊的數(shù)據(jù)主要是代碼樣本、處于測試期的項(xiàng)目、電子書和其他通用內(nèi)容。

其他一些有意思的項(xiàng)目包括'wssd cloud agent'，是一個Rust/WinRT語言翻譯的項(xiàng)目、和一個PowerShell項(xiàng)目——'PowerSweep'。

總的來看，泄露的數(shù)據(jù)中并沒有Windows或office源碼這樣的重要數(shù)據(jù)。

網(wǎng)絡(luò)情報公司Under the Breach稱可能是私有API密鑰或口令意外保存在一些私有倉庫中了，之前也有開發(fā)人員做過類似的事情。

但微軟員工Sam Smith在發(fā)推稱這起數(shù)據(jù)泄露事件可能是假的，因?yàn)槲④浻幸粋€規(guī)則：GitHub倉庫必須在30天內(nèi)公開。

BleepingComputer也聯(lián)系了微軟來確認(rèn)該事件的真實(shí)性，但截止目前還沒有得到回復(fù)。