圖片來源: 

Mohammad Rezaie on unsplash

先前駭入Nvidia、三星的南美駭客組織Lapsus$本周對外宣稱已經駭入微軟,取得Azure DevOps程式庫的機密資料。

Lapsus$周日(3/20)透過其Telegram頻道公布Azure DevOps伺服器管理頁面的螢幕擷圖,內有多個軟體的資料夾,藉此證明成功駭入這家軟體巨擘的內部系統。駭客很快又將這些擷圖刪除,表示稍後會再重貼。

根據推特用戶們抓下的公布擷圖,當中顯示Bing Test Agile、Bing Source、Cortana、WebXT Compliance_Engineering等名稱,Bing的原始碼、測試資料、使用者體驗(UX)程式碼及Cortana專案資料可能已遭竊取。此外擷圖也顯示可能遭駭的帳號用戶。

圖片來源/Tom Malka

微軟對Bleeping Computer表示已經著手調查此事,不過並未證實是否員工的Azure DevOps帳號遭到駭入。

雖然事件目前還未獲得最後證實,但從過去幾周經驗來看,很可能駭客所言不虛。駭客之前宣告將公布Nvidia、三星、巴西電信商Claro以及南美最大電商網站MecadoLibre原始碼或用戶資料,之後也都真的公布。上周Lapsus$也宣稱入侵了遊戲開發商Ubisoft。

2021年駭入SolarWinds的駭客也曾利用其軟體更新途徑,而進入微軟網路環境。但是當時微軟表示,微軟內部系統有多種安全防護機制,只取得原始碼並不會對其營運或客戶安全造成影響。

另一方面,或許軟體公司開始擔心Lapsus$下一個公布資料的會是誰。本月稍早,這群駭客曾貼出一個目標清單,涵括微軟、蘋果、IBM、美商藝電(EA)、Telefonica、AT&T、主機代管業者OVH及Locaweb等,還祭出誘因徵求幫他們駭入自己公司的員工。

熱門新聞

Advertisement