微软承认被黑客入侵，37GB 的源代码被泄露

大家好，我是校长。

昨天看到一条消息：根据 Reddit 上的帖子和 Cyber Kendra 上的一份报告显示，微软的 DevOps 帐户已被 LAPSUS$ (Lapsus) 组织入侵。

Lapsus$ 是一个什么样的黑客组织呢？它是一个数据勒索黑客组织，他们不会在受害者的设备上安装勒索软件。但是他们通过破坏公司系统，窃取源代码、客户名单、数据库和其他有价值的数据。然后，试图以赎金勒索受害者，要求不公开泄露数据。

在过去的几个月里，Lapsus$ 是真没闲着，他们已经披露了大量针对大公司的网络攻击，其中包括英伟达、三星、沃达丰 、知名游戏厂商育碧和在线商务平台 Mercado Libre 的网络攻击。

不久前，黑客组织 Lapsus$ 在其 Telegram 频道上还发布了自称是 Okta 内部系统的截图，其中一张似乎显示了 Okta 的 Slack 频道。Okta 是一家为数千家公司和组织提供双重身份验证的公司，包括 JetBlue、Nordstrom、Siemens、Slack 和 Teach for America。如果确实攻击成功，将对依赖 Okta 来验证用户访问内部系统的公司、大学和政府机构产生重大影响。

上周末，Lapsus$ 在 Telegram 上发布了一张屏幕截图：左上角的 “Azure DevOps”、“Bing”、“Cortana” 的文件名等，无一不在展示其 成功入侵微软 Azure DevOps 服务器，掌握了 Bing、Cortana 及各种内部项目的源代码。

本周一晚上，这个黑客组织发布了一份 9gb 7zip 压缩包的种子文件，其中包含了他们声称属于微软的 250 多个项目的源代码。相关关人士称，这个未压缩的存档文件大约有 37GB。

Lapsus$ 说它包含了 90% 的 Bing 源代码，大约 45% 的 Bing Maps 和 Cortana 代码。

据安全研究人员表示，Lapsus$ 公开的压缩包虽然仅有 9GB，但未压缩前应包含大约 37GB 的源代码，其中一些电子邮件和文档也证明了所言非虚：“ 这些电子邮件和文档显然是微软工程师用于发布移动应用程序的。”

通过进一步研究，研究人员还发现 Lapsus$ 泄露的源码主要聚集在微软基于 Web 的基础设施、网站或移动应用程序，并未公开其 Windows 或 Office 等桌面软件源码。

对此，微软于本周二发布官方博文作出回应：确实有一个帐户已被盗用，但源代码泄露问题不大。

原因就是：我们微软并不以代码保密作为安全措施，所以查看源代码不会导致风险提高。

微软在官方博文中推测了四种 Lapsus$ 可能采取的入侵方式：

恶意部署 Redline 密码窃取程序以获取密码和会话令牌；

在犯罪地下论坛上购买身份凭证和会话令牌；

向目标组织（或供应商 / 业务合作伙伴）的员工购买身份凭证和多因素身份验证 (MFA)；

在公共代码存储库中搜索公开的凭据。

在这四种方式中，许多安全研究人员一致认为，Lapsus$ “收买目标企业员工以获取访问权限” 的可能性最大 —— 因为他们此前曾宣布，希望能向企业员工购买内部系统访问权。

说实话，源代码泄露，尤其是前端移动应用程序的代码泄露确实没啥太大的风险，毕竟，前端就是一个壳子，关键是还是数据，还是核心算法等。

其实，把源代码曝光之后，被别的公司拿去套壳，对微软也构不成什么影响，毕竟生态体系在哪里摆着呢，想根据一个套壳的应用去搞微软的生态体系就是以卵击石。

不过，其实，最大的问题并不在于泄露的代码的危险性有多大，最大的危险性是应该查到源代码是怎么泄露的？毕竟，这次被黑客窃取了前端代码，下次万一把用户数据拿走了，那问题就大了。

通过 Lapsus$ 的行为，我们发现：国际大厂的安全性也是有一定问题的，并不是万无一失的。