Αρκετές εταιρείες λογισμικού έχουν private φακέλους με ευαίσθητα δεδομένα στο GitHub. Σύμφωνα με τον χρήστη Under the Breach στο Twitter, ένας hacker κατάφερε να πάρει στην κατοχή του dump κώδικα της Microsoft μεγέθους 63.2GB.
Χωρίς να γνωρίζουμε ποιος βρίσκεται πίσω από την επίθεση, το Tweet επισημαίνει πως ο hacker ήταν υπεύθυνος και για την υποκλοπή δεδομένων της Ινδονησιακής εταιρείας Tokopedia λίγες μέρες νωρίτερα.
Υπάρχουν screenshots με τους φακέλους που βρέθηκαν στην κατοχή του hacker, όπως επίσης υπάρχουν ανεβασμένα όλα τα ονόματα των repo σε md5 hash. Από τις εικόνες φαίνεται πως το dump είχε δεδομένα του πηγαίου κώδικα των υπηρεσιών Azure και Office, καθώς και για αρκετά runtimes των Windows.
https://twitter.com/WithinRafael/status/1258507378485374976
Οι ψηφιακές αποθήκες της Microsoft στο GitHub συνήθως προορίζονται για διάθεση στο κοινό, ακόμα και οι ιδιωτικές, με την εταιρεία να εκτελεί αυστηρούς ελέγχους του ανεβασμένου κώδικα για αποφυγή οποιαδήποτε υποκλοπής σημαντικών δεδομένων. Ακόμα και έτσι όμως, αρκετές εταιρείες ξεχνούν κατά λάθος κλειδιά ή κωδικούς στο GitHub.
Ο χρήστης Under the Bridge προσφέρει υπηρεσίες παρακολούθησης και πρόληψης παραβιάσεων δεδομένων, έχοντας φέρει στο φως αρκετές παρόμοιες υποκλοπές. Να θυμίσουμε επίσης πως η Microsoft κρατάει τον πηγαίο κώδικα των Windows, μεγέθους 300GB, ασφαλισμένο σε αποθήκη στο Git.
Μόνο gitlab…