微軟私有 GitHub 庫被黑，黑客竊取 500 GB 數據

技術編輯：芒果果丨發自 思否編輯部
SegmentFault 思否報道丨公衆號：SegmentFault

本週，一個名叫 Shiny Hunters 的黑客在論壇公開宣稱本身已經闖入了微軟 GitHub 帳戶，並下載了部分文件。

據微軟員工在社交平臺透露的信息和從泄露文件的時間能夠看出， Shiny Hunters 是在今年 3 月 28 日入侵了微軟的私有 GitHub 帳戶，並竊取了 500 GB 文件。

泄露數據部分真實，黑客已得到私人回購協議

通過微軟員工確認，黑客公佈的文件中至少有一小部分是真實的，不過黑客沒法訪問微軟核心項目的源代碼，好比 Windows 和 Office，由於此類重大項目是在微軟內部託管的，而不是在該公司的公共 GitHub 門戶上。

據瞭解，Shiny Hunters 已經與微軟達成了私人回購協議，涉及的文件數量約爲 1200 個。

微軟發言人表示，公司正在調查此事件，不會進一步置評。

泄露文件不敏感，黑客已沒法訪問微軟私有 GitHub 存儲庫

此前部分微軟員工曾表示「泄露是一個騙局」，目前，發表了相似文字的相關人員已撤回評論，泄露的部分文件已被證明真實性。之因此說「部分真實」是由於黑客列出的文件和目錄中有很大一部分不是與微軟相關的，尚不清楚這些文件是如何被黑客獲取的。

網絡安全公司 Nightlion Security和 Under Breach 提供了黑客在線共享的文本副本，包括從微軟的私有 GitHub 存儲庫下載的全部文件和目錄列表。

此外，一些微軟員工表示，本身在微軟官方 GitHub 帳戶上的私人項目並未包含在黑客獲取的文件列表中，這意味着黑客僅得到了微軟的一部分敏感信息訪問權限。被盜數據中惟一敏感的是包含訪問令牌和 API 憑據，這些憑據如今必須撤銷。

目前，微軟已對被攻擊帳戶作了修復，黑客已沒法訪問微軟的私有 GitHub 存儲庫。