大家好,我是校长。
昨天看到一条消息:根据 Reddit 上的帖子和 Cyber Kendra 上的一份报告显示,微软的 DevOps 帐户已被 LAPSUS$ (Lapsus) 组织入侵。
Lapsus$ 是一个什么样的黑客组织呢?它是一个数据勒索黑客组织,他们不会在受害者的设备上安装勒索软件。但是他们通过破坏公司系统,窃取源代码、客户名单、数据库和其他有价值的数据。然后,试图以赎金勒索受害者,要求不公开泄露数据。
在过去的几个月里,Lapsus$ 是真没闲着,他们已经披露了大量针对大公司的网络攻击,其中包括英伟达、三星、沃达丰 、知名游戏厂商育碧和在线商务平台 Mercado Libre 的网络攻击。
不久前,黑客组织 Lapsus$ 在其 Telegram 频道上还发布了自称是 Okta 内部系统的截图,其中一张似乎显示了 Okta 的 Slack 频道。Okta 是一家为数千家公司和组织提供双重身份验证的公司,包括 JetBlue、Nordstrom、Siemens、Slack 和 Teach for America。如果确实攻击成功,将对依赖 Okta 来验证用户访问内部系统的公司、大学和政府机构产生重大影响。
上周末,Lapsus$ 在 Telegram 上发布了一张屏幕截图:左上角的 “Azure DevOps”、“Bing”、“Cortana” 的文件名等,无一不在展示其 成功入侵微软 Azure DevOps 服务器,掌握了 Bing、Cortana 及各种内部项目的源代码。
本周一晚上,这个黑客组织发布了一份 9gb 7zip 压缩包的种子文件,其中包含了他们声称属于微软的 250 多个项目的源代码。相关关人士称,这个未压缩的存档文件大约有 37GB。
Lapsus$ 说它包含了 90% 的 Bing 源代码,大约 45% 的 Bing Maps 和 Cortana 代码。
据安全研究人员表示,Lapsus$ 公开的压缩包虽然仅有 9GB,但未压缩前应包含大约 37GB 的源代码,其中一些电子邮件和文档也证明了所言非虚:“ 这些电子邮件和文档显然是微软工程师用于发布移动应用程序的。”
通过进一步研究,研究人员还发现 Lapsus$ 泄露的源码主要聚集在微软基于 Web 的基础设施、网站或移动应用程序,并未公开其 Windows 或 Office 等桌面软件源码。
对此,微软于本周二发布官方博文作出回应:确实有一个帐户已被盗用,但源代码泄露问题不大。
原因就是:我们微软并不以代码保密作为安全措施,所以查看源代码不会导致风险提高。
微软在官方博文中推测了四种 Lapsus$ 可能采取的入侵方式:
恶意部署 Redline 密码窃取程序以获取密码和会话令牌;
在犯罪地下论坛上购买身份凭证和会话令牌;
向目标组织(或供应商 / 业务合作伙伴)的员工购买身份凭证和多因素身份验证 (MFA);
在公共代码存储库中搜索公开的凭据。
在这四种方式中,许多安全研究人员一致认为,Lapsus$ “收买目标企业员工以获取访问权限” 的可能性最大 —— 因为他们此前曾宣布,希望能向企业员工购买内部系统访问权。
说实话,源代码泄露,尤其是前端移动应用程序的代码泄露确实没啥太大的风险,毕竟,前端就是一个壳子,关键是还是数据,还是核心算法等。
其实,把源代码曝光之后,被别的公司拿去套壳,对微软也构不成什么影响,毕竟生态体系在哪里摆着呢,想根据一个套壳的应用去搞微软的生态体系就是以卵击石。
不过,其实,最大的问题并不在于泄露的代码的危险性有多大,最大的危险性是应该查到源代码是怎么泄露的?毕竟,这次被黑客窃取了前端代码,下次万一把用户数据拿走了,那问题就大了。
通过 Lapsus$ 的行为,我们发现:国际大厂的安全性也是有一定问题的,并不是万无一失的。
领取专属 10元无门槛券
私享最新 技术干货