Многие отраслевые СМИ на этой неделе сообщили, что неизвестный злоумышленник получил доступ к учетной записи сотрудника Microsoft на GitHub и скачал содержимое ряда private-репозиториев компании. В частности, Bleeping Computer пишет, что злоумышленник пользуется псевдонимом Shiny Hunters, — он вышел на связь изданием, предоставив журналистам доказательства взлома.
Хакер утверждает, что в общей сложности сумел похитить 500 Гб данных из репозиториев софтверного гиганта и сначала собирался продать их, но потом передумал и решил слить информацию в сеть бесплатно. Судя по содержимому дампа, утечка произошла 28 марта 2020 года.
В качестве «пробника» хакер предложил всем желающим изучить дамп размером 1 Гб, опубликовав его на неназванном хак-форуме. Bleeping Computer отмечает, что некоторые из опубликованных файлов содержат текст на китайском языке, а также ссылки на latelee.org, из-за чего сначала у многих возникли сомнения в подлинности выложенной информации.
Изучив список каталогов украденных данных, а также исходные коды из private-репозиториев, исследователи Bleeping Computer пришли к выводу, что в руки хакера в основном попали образцы кода, тестовые проекты, электронные книги и прочие маловажные данные. Аналитики ИБ-компаний Nightlion Security и Under the Breach тоже изучили утечку и согласны с мнением журналистов: Microsoft определенно не о чем беспокоиться, а среди утекших файлов бесполезно искать иходники таких продуктов, как Windows и Office.
При этом утечка, судя по всему, все же была подлинной. Если сначала некоторые инженеры Microsoft писали в социальных сетях и сообщали СМИ, что данная утечка – это фейк, теперь они удалили свои записи и отказались от своих слов. Более того, Bleeping Computer и издание ZDNet сообщают, что сразу несколько сотрудников Microsoft, пожелавшие сохранить инкогнито, подтвердили, что по крайней мере некоторая часть украденных файлов являются подлинными, но хакер не получил доступа к исходному коду каких-либо крупных проектов Microsoft.
Сотрудники Microsoft объяснили, что исходные коды таких проектов размещаются исключительно на внутренних ресурсах корпорации, а не на общедоступном GitHub. Дело в том, что внутренняя политика компании требует, чтобы учетная запись Microsoft GitHub использовалась только для размещения и совместного использования проектов и документации с открытым исходным кодом. Также учетная запись может использоваться для размещения частных проектов, которые в будущем тоже станут доступны в виде опенсорсных решений.
По данным ZDNet, хакеру удалось проникнуть в 1200 приватных репозиториев. При этом издание пишет, что большая часть похищенных файлов и каталогов, вообще не имела отношения к Microsoft (среди них есть даже известные проекты с открытым исходным кодом, публичные уже много лет). Пока неясно, каким образом эти репозитории вообще попали в список злоумышленника.
Единственная реальная проблема, судя по всему, заключается в том, что некоторые скомпрометированные проекты могли содержать токены доступа и учетные данные API, которые теперь следует отозвать и сменить.
Опираясь на данные собственных источников, журналисты ZDNet говорят, что стоящий за этим инцидентом хакер — это тот же человек, что недавно взломал Tokopedia, крупнейший интернет-магазин в Индонезии.
Официальных комментариев об этом инциденте от Microsoft пока не поступало. В компании лишь сообщили, что уже проводят расследование случившегося.