微软GitHub账号500GB数据被黑客窃取，并声称要免费泄露，网安公司：这没什么好怕的

日前，据彭博社报导，有骇客宣称从谷歌的商业机构 GitHub 存储库中盗取了少于 500GB 的统计数据，并联络了 Bleeping Computer，宣称她们早已赢得了对那个互联网子公司的商业机构存储库的全然出访

日前，据彭博社报导，有骇客宣称从谷歌的商业机构 GitHub 存储库中盗取了少于 500GB 的统计数据，并联络了 Bleeping Computer，宣称她们早已赢得了对那个互联网子公司的商业机构存储库的全然出访权，并提供更多了确凿证据。

图自：Bleeping Computer

为此，一名网民乐观的则表示：

甚么都能被黑，非但不晓得甚么是安全可靠的了。

但有意思的是，这名骇客舍弃了转卖的方案，那时下定决心全然免费外泄。

不晓得谷歌是不是怕......

Shiny Hunters 是是不是黑进谷歌商业机构库房的？

要偷统计数据，具体来说要辨认出安全可靠漏洞。

依照外泄文档的完备产品目录条目中的文档备注，该安全可靠漏洞可能将出那时 2020 年 3 月 28 日。

图自：Bleeping Computer

Shiny Hunters 具体来说在骇客论坛上提供更多了 1GB 的文档，供注册会员使用网站信用来获取外泄的统计数据。

但由于一些外泄的文档包含中文文本或对 latelee.org 的引用，论坛上的其他威胁参与者并不认为这些统计数据是真实的。

依照 Shiny Hunters 发送到 BleepingComputer 的私有存储库的被盗统计数据和源代码的完备产品目录条目，被盗文档主要是代码样本、测试项目、电子书和其他通用项目。

而一些私有存储库看起来倒似乎更有意思一些，比如一些被命名为wssd云代理，一个铁锈/WinRT语言项目，以及一个 PowerSweep PowerShell 项目。

总的来说，从共享的内容来看，谷歌似乎没有甚么值得担心的，因为它没有包含像视窗或办公软件这样更敏感的代码。

网络安全可靠情报子公司 Under the Breach 也在骇客论坛上辨认出外泄事件，并则表示这没甚么好担心的，因为骇客并未获取到谷歌任何主要核心项目的源代码，比如 Windows 或 Office。

图自：Twiteer

不过，有网民也则表示，外泄的统计数据是真的，但是没有用处，谷歌 GitHub 账户下的所有私有存储库意味着都是公开的，即使它们那时是私有的，最终它们会被公开。最重要的是 AzureDevOps 组织账户！

但让网络安全可靠情报子公司 Under the Breach 担心的是，像过去有些开发者一样，私有 API 密钥或密码可能将意外地遗留在一些私有存储库中，那个才是真正的隐患。

图自：Bleeping Computer

目前，谷歌正在调查中。

需要注意的是，此次入侵谷歌 GitHub 账户的骇客 Shiny Hunters 是最近印尼电商平台 Tokopedia 统计数据外泄的始作俑者。他在骇客论坛上转卖 9100 万 Tokopedia 账户统计数据，标价 5000 美元。

那么，是不是可能将，Shiny Hunters 在策划更大的局，这一次只是想给谷歌一个警告呢？

被骇客盯上的 GitHub

作为全球程序员的大本营， GitHub 被骇客盯上也不是第一次了。

2018 年，Gentoo Linux 发行版的维护方发布了一份事件报告，称此前有人劫持了该组织的一个 GitHub帐户并植入了恶意代码。

2019 年 4 月，Docker Hub 统计数据库遭遇未授权人士出访，并导致约 19 万用户的敏感信息曝光在外，这批信息包含一部分用户名与散列密码，以及 GitHub 与 Bitbucket 存储库的登录令牌。目前，Github tokens 被撤销，已禁用构建。

2019 年 5 月，GitHub 遭到骇客的攻击勒索，程序员们托管在该网站上的源代码和 Repo 都不见了。骇客要求这些受害者在十天内往特定账户支付 0.1 比特币，否则她们将会公开代码，或者以其他的方式使用。

那么，骇客为啥总是要薅 GitHub 的羊毛呢？

具体来说是开源社区的开放性。

依照 Snyk 2019 年开源安全可靠现状调查报告显示，37％ 的开源开发者在持续集成 (CI) 期间没有实施任何类型的安全可靠测试，54％ 的开发者没有对 Docker 镜像进行任何安全可靠测试。这也导致两年时间内，各大平台的应用程序安全可靠漏洞数量增长了 88％。 GitHub 上排名前 40 万的公共代码库中，仅 2.4% 有安全可靠文档。而 npm 和 Maven 中央库房的安全可靠隐患尤其严重，而二者也是工具包数量增长最多的平台。

图自：Snyk 2019 年开源安全可靠现状调查报告

也就是说，这些代码库是没有安全可靠后门的，这岂不是为骇客打开大门吗？

其次，是开源项目维护者自身的安全可靠意识不高。

依照Snyk 2019 年开源安全可靠现状调查报告，在一个针对 500 多名开源项目维护者的调查中，只有 30% 不的开源工程师具有较高的安全可靠意识。

图自：Snyk 2019 年开源安全可靠现状调查报告

而一个更为严重的事实是，绝大多数企业的开发团队，对开源软件的使用都非常随意，运维人员也无法知晓软件系统中是否包含了开源软件，包含了哪些开源软件，以及这些软件中是否存在安全可靠安全可靠漏洞。并且大多数云供应商在将企业统计数据上传到集群之前都不会加密统计数据。

所以，程序员们和开发者们是时候留点心了。

最后一问，开源和安全可靠，你选哪个？

参考资料：

[1]https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/

[2]https://www.zdnet.com/article/a-hacker-group-is-selling-more-than-73-million-user-records-on-the-dark-web/

[3]https://www.leiphone.com/news/201905/yu26E9ojKPl6MXSL.html

[4]http://www.199it.com/archives/839573.html