Shiny Hunter提供了一个目录列表,其中包含了每个被盗文件的名称、大小和时间戳。这些资源库似乎都不涉及微软的主要产品,如Windows、Office和Xbox等。相反,它们大多是 代码样本、测试项目、电子书和其他通用项目。
随后这条消息得到了数据泄露监控和防范服务机构Under the Breach推特账户的证实。需要注意的是,尽管此次泄露的源代码规模很大,但不代表黑客会获取到微软的核心商业机密,微软在GitHub仓库中存储的内容一般都是公开的,即便存储在私人仓库中的内容也是如此,而且微软还会严格筛查上传的代码来杜绝泄露的情况。
事实上,整个漏洞的真实性一直存在争议。微软员工Sam Smith在推特上表示,该公司只将GitHub用于最终成为开源和公开的项目。他最初写道,微软的规则要求所有的GitHub仓库必须在创建后30天内公开,不过这条推文后来已经被删除。
不管真假,目前普遍的共识是,这次违规事件并没有对微软有什么影响。如果是真的,最迫切的关注点将是黑客当初是如何获得访问权限的。其他安全研究人员注意到,GitHub仓库中往往包含有开发者错误添加的私有API密钥和密码,如果被发现并使用,可能会进一步暴露微软的信息。
