微软私有 GitHub 库被黑，黑客窃取 500 GB 数据

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

本周，一个名叫 Shiny Hunters 的黑客在论坛公开宣称本身已经闯入了微软 GitHub 帐户，并下载了部分文件。

据微软员工在社交平台透露的信息和从泄露文件的时间能够看出， Shiny Hunters 是在今年 3 月 28 日入侵了微软的私有 GitHub 帐户，并窃取了 500 GB 文件。

泄露数据部分真实，黑客已得到私人回购协议

通过微软员工确认，黑客公布的文件中至少有一小部分是真实的，不过黑客没法访问微软核心项目的源代码，好比 Windows 和 Office，由于此类重大项目是在微软内部托管的，而不是在该公司的公共 GitHub 门户上。

据了解，Shiny Hunters 已经与微软达成了私人回购协议，涉及的文件数量约为 1200 个。

微软发言人表示，公司正在调查此事件，不会进一步置评。

泄露文件不敏感，黑客已没法访问微软私有 GitHub 存储库

此前部分微软员工曾表示「泄露是一个骗局」，目前，发表了相似文字的相关人员已撤回评论，泄露的部分文件已被证明真实性。之因此说「部分真实」是由于黑客列出的文件和目录中有很大一部分不是与微软相关的，尚不清楚这些文件是如何被黑客获取的。

网络安全公司 Nightlion Security和 Under Breach 提供了黑客在线共享的文本副本，包括从微软的私有 GitHub 存储库下载的全部文件和目录列表。

此外，一些微软员工表示，本身在微软官方 GitHub 帐户上的私人项目并未包含在黑客获取的文件列表中，这意味着黑客仅得到了微软的一部分敏感信息访问权限。被盗数据中惟一敏感的是包含访问令牌和 API 凭据，这些凭据如今必须撤销。

目前，微软已对被攻击帐户作了修复，黑客已没法访问微软的私有 GitHub 存储库。