大家好,我是校長。
昨天看到一條消息:根據 Reddit 上的文章和 Cyber Kendra 上的一份報告顯示,微軟的 DevOps 帳戶已被 LAPSUS$ (Lapsus) 組織入侵。
Lapsus$ 是一個什麼樣的黑客組織呢?它是一個資料勒索黑客組織,他們不會在受害者的裝置上安裝勒索軟體。但是他們通過破壞公司系統,竊取源代碼、客戶名單、資料庫和其他有價值的資料。然後,試圖以贖金勒索受害者,要求不公開洩露資料。
在過去的幾個月裡,Lapsus$ 是真沒閑着,他們已經披露了大量針對大公司的網絡攻擊,其中包括英偉達、三星、沃達豐 、知名遊戲廠商育碧和線上商務平台 Mercado Libre 的網絡攻擊。
不久前,黑客組織 Lapsus$ 在其 Telegram 頻道上還釋出了自稱是 Okta 内部系統的截圖,其中一張似乎顯示了 Okta 的 Slack 頻道。Okta 是一家為數千家公司群組織提供雙重身份驗證的公司,包括 JetBlue、Nordstrom、Siemens、Slack 和 Teach for America。如果确實攻擊成功,将對依賴 Okta 來驗證使用者通路内部系統的公司、大學和政府機構産生重大影響。
上周末,Lapsus$ 在 Telegram 上釋出了一張螢幕截圖:左上角的 “Azure DevOps”、“Bing”、“Cortana” 的檔案名等,無一不在展示其 成功入侵微軟 Azure DevOps 伺服器,掌握了 Bing、Cortana 及各種内部項目的源代碼。
本周一晚上,這個黑客組織釋出了一份 9gb 7zip 壓縮包的種子檔案,其中包含了他們聲稱屬于微軟的 250 多個項目的源代碼。相關關人士稱,這個未壓縮的存檔檔案大約有 37GB。
Lapsus$ 說它包含了 90% 的 Bing 源代碼,大約 45% 的 Bing Maps 和 Cortana 代碼。
據安全研究人員表示,Lapsus$ 公開的壓縮包雖然僅有 9GB,但未壓縮前應包含大約 37GB 的源代碼,其中一些電子郵件和文檔也證明了所言非虛:“ 這些電子郵件和文檔顯然是微軟工程師用于釋出移動應用程式的。”
通過進一步研究,研究人員還發現 Lapsus$ 洩露的源碼主要聚集在微軟基于 Web 的基礎設施、網站或移動應用程式,并未公開其 Windows 或 Office 等桌面軟體源碼。
對此,微軟于本周二釋出官方博文作出回應:确實有一個帳戶已被盜用,但源代碼洩露問題不大。
原因就是:我們微軟并不以代碼保密作為安全措施,是以檢視源代碼不會導緻風險提高。
微軟在官方博文中推測了四種 Lapsus$ 可能采取的入侵方式:
惡意部署 Redline 密碼竊取程式以擷取密碼和會話令牌;
在犯罪地下論壇上購買身份憑證和會話令牌;
向目标組織(或供應商 / 業務合作夥伴)的員工購買身份憑證和多因素身份驗證 (MFA);
在公共代碼存儲庫中搜尋公開的憑據。
在這四種方式中,許多安全研究人員一緻認為,Lapsus$ “收買目标企業員工以擷取通路權限” 的可能性最大 —— 因為他們此前曾宣布,希望能向企業員工購買内部系統通路權。
說實話,源代碼洩露,尤其是前端移動應用程式的代碼洩露确實沒啥太大的風險,畢竟,前端就是一個殼子,關鍵是還是資料,還是核心算法等。
其實,把源代碼曝光之後,被别的公司拿去套殼,對微軟也構不成什麼影響,畢竟生态體系在哪裡擺着呢,想根據一個套殼的應用去搞微軟的生态體系就是以卵擊石。
不過,其實,最大的問題并不在于洩露的代碼的危險性有多大,最大的危險性是應該查到源代碼是怎麼洩露的?畢竟,這次被黑客竊取了前端代碼,下次萬一把使用者資料拿走了,那問題就大了。
通過 Lapsus$ 的行為,我們發現:國際大廠的安全性也是有一定問題的,并不是萬無一失的。