Hackerská skupina zasáhla Microsoft, dostala se do úložišť zdrojového kódu Azure DevOps a unikla zdrojový kód pro Cortanu a několik dalších projektů Microsoftu. Je to poslední kolo útoků skupiny pod názvem „LAPSUS$“, která také úspěšně zacíleno Nvidia, Ubisoft a další velké technologické giganty.
Nejnovější aktualizace od skupiny, která přichází 22. března, zahrnuje sdílení 9GB archivu, který obsahuje zdrojový kód pro 250 projektů společnosti Microsoft. Z nich skupina tvrdí, že má 90 % zdrojového kódu pro Bing a 45 % zdrojového kódu pro Bing Maps a Cortanu. Toto jsou jen některá z hacknutých dat, přičemž celý archiv má 37 GB zdrojového kódu Microsoftu.
Zdrojové kódy pro Windows a Office nejsou podle úniku zahrnuty Pípavý počítač, která se domnívá, že uniklé soubory jsou pravé. Soubory jsou místo toho svázány s mobilními aplikacemi nebo weby a obsahují e-maily a další dokumenty používané interně inženýry Microsoftu, kteří na projektech pracovali.
Doporučená videa
Microsoft potvrdil hacknout příspěvek na blogu
, která podrobně popisuje akce skupiny LAPSUS$, kterou sleduje jako DEV-0537. V příspěvku Microsoft uvedl, že hackeři měli „omezený přístup“ ke zdrojovému kódu, protože byl napaden jeden účet. Microsoft dále vysvětlil, že do činností nebyl zapojen žádný zákaznický kód ani data.„Naše vyšetřování zjistilo, že jeden účet byl kompromitován, což umožnilo omezený přístup. Naše týmy pro kybernetickou bezpečnost se rychle zapojily do nápravy napadeného účtu a zabránění další aktivitě,“ uvedl Microsoft.
Společnost také uvedla, že se nespoléhá na utajení kódu jako bezpečnostní opatření a že prohlížení zdrojového kódu nevede ke zvýšení rizika. To je podobné tomu, co Microsoft vysvětlil během Solarigate vyšetřování, kde byl k zobrazení zdrojového kódu použit kompromitovaný účet, ačkoli neměl oprávnění upravovat inženýrské systémy.
„Náš tým již prověřoval napadený účet na základě informací o hrozbách, když herec veřejně odhalil jejich vniknutí. Toto zveřejnění eskalovalo naši akci a umožnilo našemu týmu zasáhnout a přerušit aktéra uprostřed operace, čímž se omezil širší dopad,“ vysvětlil Microsoft.
Jakkoli to zní nebezpečně, hackerská skupina LAPSUS$ není typická. Skupina má větší zájem držet výkupné za zdrojový kód pro technologické giganty, aby dosáhla zisku. Je to proto, že úložiště zdrojového kódu mohou mít také klíče API a certifikáty pro podepisování kódu. LAPSUS$ to udělal s Nvidií, když ukradl kód DLSS a požadoval, aby výrobce GPU „zcela open source (a distribuoval pod licencí FOSS) [jeho] ovladače GPU“.
Článek byl aktualizován 23. března s reakcí Microsoftu na hacknutí LAPSUS$.
Doporučení redakce
- Microsoft možná ignoroval varování o neopodstatněných odpovědích Bing Chatu
- Tato chyba Bingu umožnila hackerům změnit výsledky vyhledávání a ukrást vaše soubory
- Čekací listina Bing Chat společnosti Microsoft je pryč – jak se nyní zaregistrovat
- Microsoft pomalu ruší omezující limity pro Bing Chat
- Tato nová funkce Microsoft Bing Chat vám umožňuje změnit její chování
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
