微软确认被黑客窃取37GB源代码

Lapsus$黑客组织窃取微软37GB源代码。

Lapsus$黑客组织先后对NVIDIA、三星、Vodafone、Ubisoft、Mercado Libre发起了攻击，并成功窃取了相关企业的数据。近日，Lapsus$黑客组织称成功窃取了微软37GB源代码数据，微软也确认其员工账户被入侵，部分数据泄露。

Lapsus$黑客称窃取微软37GB数据

3月20日，黑客组织Lapsus$在Telegram发帖称其黑掉了微软Azure DevOps服务器，其中包含Bing、Cortana和其他内部项目。

Lapsus$泄露的微软Azure DevOps账户信息

3月21日晚，Lapsus$发布了一个9GB压缩文件的种子文件，其中包含属于微软的超过250个内部项目的源代码。Lapsus$ 称其中包含Bing 90% 的源代码，以及Bing Maps 和 Cortana 45%的源代码。

泄露了源代码的项目

泄露了源代码的项目主要是基于web的基础设施、网站和移动APP，没有微软桌面应用的源代码泄露。安全研究人员分析这些泄露的文件后认为这确实是来自微软的合法内部项目源代码。

Lapsus$称泄露的代码只是其中一小部分，总共窃取的微软源代码文件超过37GB。此外，还包括一些微软工程师发布移动APP时使用的邮箱和文件。

微软确认数据泄露事件

3月22日，微软确认只有一个微软员工账号被Lapsus$黑客组织入侵，由于账号权限问题，攻击者访问并窃取了微软部分源代码。没有客户代码或数据被窃。微软网络安全响应团队迅速修复了账户并预防进一步的风险。

微软并没有提供其员工账户如何被窃的细节，但提供了Lapsus$ 组织在多个攻击活动中使用的攻击处理、技术和流程。

微软经过对Lapsus$黑客组织的分析发现，Lapsus$黑客组织主要利用入侵企业网络来获取入侵的凭证信息。窃取凭证信息的方式有：

部署恶意Redline 密码窃取器来获取密码和会话token；

在黑客论坛购买凭证和会话token；

从定向组织（供应商或企业合作伙伴）员工购买访问凭证或多因子认证码；

搜索公开的代码库检查有无保留的凭证。

安全建议：企业如何应对Lapsus$

微软向企业给出了以下建议来应对类Lapsus$黑客组织的攻击：

使用多因子认证；

对VPN使用流行的认证方式；

加强和监控云安全；

提高对社会工程攻击的感知。