Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un hacker aurait téléchargé 500 Go de données issues de référentiels GitHub privés de Microsoft
L'accès non autorisé aurait eu lieu le 28 mars 2020

Le , par Stéphane le calme

60PARTAGES

10  0 
Un hacker prétend avoir pu avoir accès aux référentiels GitHub privés de Microsoft et avoir téléchargé plus de 500 Go de données.


Preuve d'accès de l'acteur aux dépôts GitHub privés de Microsoft

L'individu a fait savoir que lorsqu’il a téléchargé ces données de référentiel privé, il avait initialement prévu de les vendre, mais s’est ravisé et a préféré les divulguer gratuitement. Sur la base de l’horodatage dans les fichiers divulgués, cet accès non autorisé pourrait avoir eu lieu le 28 mars 2020.


Des captures d'écran de la liste de répertoires des fichiers suggèrent que le dump contient du code source pour Azure, Office et certains runtimes Windows.

La nouvelle a été confirmée par le compte Twitter Under the Breach, un service de surveillance et de prévention des violations de données:

« La personne derrière le récent piratage Tokopedia affirmant qu'il possède 500 Go (non compressé) de code source Microsoft privé, contenant principalement du code source Azure, ainsi que des fichiers / API Office et certains fichiers d'exécution Windows.

Semble être volé dans les référentiels Github privés »


En guise de mise en bouche, le pirate a offert 1 Go de fichiers sur un forum de piratage pour que les membres inscrits puissent utiliser les «crédits» du site pour accéder aux données divulguées.

Comme certains des fichiers divulgués contiennent du texte chinois ou des références à latelee.org, plusieurs participants ne pensaient pas que les données soient réelles.

Dans une liste de répertoires et des échantillons d'autres référentiels privés, les données volées semblent être principalement être des échantillons de code, des projets de test, un livre électronique et d'autres éléments génériques.

Certains référentiels privés semblent un peu plus intéressants, comme ceux nommés « agent cloud wssd », une projection du langage Rust / WinRT et un projet PowerShell « PowerSweep ».

Dans l'ensemble, d'après ce qui a été partagé, il ne semble pas y avoir de quoi s'inquiéter pour Microsoft, à l’instar du code source de Windows ou Office. C’est en tout cas l’avis de Under The Breach qui a déclaré : « Après quelques recherches et parce que l'acteur a vidé toute la liste des répertoires privés, il semble que cela soit réel.

Je doute qu'il y ait quelque chose de trop privé dans ces dépôts, mais les entreprises laissent parfois des clés / mots de passe sur Github par erreur ».


Ainsi, malgré la taille des données téléchargées, il est peu probable que de nombreux secrets aient été divulgués. Les référentiels de Microsoft sur GitHub sont souvent destinés à une mise à disposition du public, même lorsqu'ils sont privés, et Microsoft effectue des vérifications et des analyses rigoureuses du code téléchargé pour gérer ce genre de scénario.

Une situation qui encourage à la vigilance

L'année dernière, un hacker s'est introduit dans des dépôts privés de code, les a effacés et a demandé une rançon à leurs propriétaires pour restaurer leurs projets sous peine de se servir de leur travail ou de le rendre public. Le hacker s'est attaqué aux référentiels de code hébergés sur GitHub et BitBucket, un service similaire appartenant à Atlassian.

L'attaque a touché au moins 392 dépôts différents de Github et les a remplacé par une note de rançon : « Pour récupérer votre code perdu et éviter toute fuite: envoyez-nous 0,1 bitcoin (BTC) à notre adresse bitcoin 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA et contactez-nous par email à admin@gitsbackup.com avec votre identifiant Git et une preuve de paiement. Si vous n’êtes pas persuadés que nous avons vos données, contactez-nous et nous vous enverrons une preuve. Votre code est téléchargé et sauvegardé sur nos serveurs. Si nous ne recevons pas votre paiement dans les 10 prochains jours, nous rendrons votre code public ou l’utiliserons autrement ».

Une victime a supposé que le pirate informatique s'était introduit dans son compte en devinant le mot de passe : « Mon mot de passe était faible et aurait pu être facilement déchiffré par la force brute », a déclaré la victime dans un message publié sur le site de questions-réponses Stack Exchange. « Il est également possible que mon adresse e-mail et ce mot de passe figurent sur une liste de comptes ayant fait l'objet d'une fuite ».

Dans un avis de sécurité, Bitbucket a déclaré que le hacker avait pénétré dans les comptes compromis en entrant le nom d'utilisateur et le mot de passe corrects. « Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, alors que d'autres services d'hébergement git subissent une attaque similaire », et de préciser « Nous n'avons détecté aucun autre compromis de Bitbucket ».

Kathy Wang, directrice de la sécurité chez GitLab, a déclaré : « Nous disposons de preuves solides que les mots de passe des comptes compromis sont stockés en texte clair lors du déploiement d'un référentiel associé. Nous encourageons vivement l'utilisation d'outils de gestion des mots de passe afin de stocker les mots de passe de manière plus sécurisée ».

Source : Under The Breach

Et vous ?

Que pensez-vous de cette situation ?
Pensez-vous que ces données soient réelles ou non ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de mzerbo
Membre régulier https://www.developpez.com
Le 16/05/2020 à 15:56
Je trouvais étrange que Microsoft utilise Github jusqu'à ce que je lise l'article.
0  0