Hakerska skupina napala je Microsoft, ušla u repozitorije izvornog koda Azure DevOps i procurila izvorni kod za Cortanu i nekoliko drugih Microsoftovih projekata. To je posljednja runda napada grupe pod nazivom “LAPSUS$”, koja također uspješno ciljano Nvidia, Ubisoft i drugi veliki tehnološki divovi.
Najnovije ažuriranje grupe, koje dolazi 22. ožujka, uključuje dijeljenje arhive od 9 GB, koja sadrži izvorni kod za 250 Microsoftovih projekata. Od toga, grupa tvrdi da ima 90% izvornog koda za Bing i 45% izvornog koda za Bing Maps i Cortanu. Ovo su samo neki od hakiranih podataka, a cijela arhiva sadrži 37 GB Microsoftovog izvornog koda.
Izvorni kod za Windows i Office nije uključen u curenje, prema Blještavo računalo, koji vjeruje da su procurile datoteke autentične. Datoteke su umjesto toga povezane s mobilnim aplikacijama ili web stranicama i sadrže e-poštu i druge dokumente koje interno koriste Microsoftovi inženjeri koji su radili na projektima.
Preporučeni videozapisi
Microsoft je potvrdio
hack u postu na blogu, koji detaljno opisuje radnje grupe LAPSUS$ koje prati kao DEV-0537. U objavi je Microsoft rekao da su hakeri imali "ograničen pristup" izvornom kodu jer je jedan račun bio ugrožen. Microsoft je dalje objasnio da u te aktivnosti nisu uključeni korisnički kodovi ili podaci.“Naša istraga je otkrila da je jedan račun bio ugrožen, dajući ograničen pristup. Naši timovi za kibernetičku sigurnost brzo su se angažirali kako bi popravili ugroženi račun i spriječili daljnje aktivnosti”, rekao je Microsoft.
Tvrtka je također spomenula da se ne oslanja na tajnost koda kao sigurnosnu mjeru i da gledanje izvornog koda ne dovodi do povećanja rizika. Ovo je slično onome što je Microsoft objasnio tijekom Solarigate istraga, gdje je ugroženi račun korišten za pregled izvornog koda, iako nije imao dozvolu za izmjenu inženjerskih sustava.
“Naš tim je već istraživao kompromitirani račun na temelju obavještajnih podataka o prijetnjama kada je glumac javno otkrio njihov upad. Ovo javno otkrivanje eskaliralo je našu akciju, dopuštajući našem timu da intervenira i prekine aktera usred operacije, ograničavajući širi utjecaj,” objasnio je Microsoft.
Koliko god ovo opasno zvučalo, hakerska grupa LAPSUS$ nije tipična. Grupa je više zainteresirana za držanje otkupnine izvornog koda za tehnološke divove kako bi ostvarila profit. To je zato što repozitoriji izvornog koda također mogu imati API ključeve i certifikate za potpisivanje koda. LAPSUS$ je to učinio s Nvidijom kada je ukrao DLSS kod i zahtijevao da proizvođač GPU-a "potpuno otvori (i distribuira pod FOSS licencom) [svoje] GPU drajvere."
Članak ažuriran 23. ožujka Microsoftovim odgovorom na hakiranje LAPSUS$.
Preporuke urednika
- Microsoft je možda ignorirao upozorenja o nepostojanim odgovorima Bing Chata
- Ovaj Bingov nedostatak omogućuje hakerima da mijenjaju rezultate pretraživanja i kradu vaše datoteke
- Microsoftova lista čekanja za Bing Chat je nestala — kako se sada prijaviti
- Microsoft polako ukida restriktivna ograničenja broja za Bing Chat
- Ova nova značajka Microsoft Bing Chata omogućuje vam promjenu ponašanja
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.
