Seorang hacker telah memperoleh akses ke akun GitHub karyawan Microsoft dan telah mengunduh beberapa repo pribadi GitHub perusahaan. Intrusi diyakini telah terjadi pada bulan Maret lalu. Dan terungkap minggu ini ketika hacker mengumumkan rencana untuk menerbitkan beberapa proyek curian di forum peretasan.
Meskipun telah dikonfirmasi bahwa sebagian kecil file yang dicuri itu asli. Namun peretas tidak mendapatkan akses ke kode sumber dari setiap proyek inti Microsoft, seperti Windows dan Office.
Karyawan Microsoft yang mengomentari kebocoran tersebut mengatakan kepada bahwa proyek-proyek besar semacam itu diselenggarakan secara internal di Microsoft. Dan bukan di portal GitHub publik perusahaan. Dan ini jelas, karena sistem premium tidak akan di host pada layanan umum.
Jumlah repo pribadi yang diyakini telah diakuisisi oleh peretas diyakini sekitar 1.200.
Hacker Tembus Akses Repo Pribadi Microsoft
Dengan bantuan perusahaan keamanan cyber Nightlion Security dan Under the Breach. Media kenamaan ZDNet berhasil memperoleh salinan file yang dibagikan peretas secara online minggu ini. Termasuk daftar semua file dan direktori yang diunduh dari repositori GitHub pribadi Microsoft.
Mereka juga menunjukkan menerima tiga file proyek, termasuk kode sumber lengkap, dari proyek pribadi Microsoft.
Reporter ini dan penulis Microsoft ZDNet Mary Jo Foley telah berbicara kemarin. Dan hari ini dengan beberapa insinyur perangkat lunak Microsoft dengan janji anonimitas. Sumber sekarang telah mengkonfirmasi bahwa file dan direktori yang termasuk dalam daftar yang dibagikan oleh peretas memang mengandung proyek yang disimpan dalam akun GitHub Microsoft sebagai repo pribadi.
Karyawan Microsoft lainnya mengumumkan penilaian mereka kepada publik, juga mengkonfirmasi keaslian kebocoran tersebut.
Insinyur Microsoft yang pada awalnya mengatakan bahwa “kebocoran itu scam”, sekarang telah berjalan kembali komentar mereka sebagai berita kebocoran menyebar di dalam perusahaan. Dan beberapa karyawan mengkonfirmasi keaslian parsialnya.
Karyawan yang mengomentari kebocoran tersebut sebagai penipuan juga telah menghapus tweet mereka.
Kami mengatakan “keaslian parsial” karena sebagian besar file dan direktori yang tercantum oleh peretas tampaknya bukan proyek yang berkaitan dengan Microsoft. Atau proyek sumber terbuka yang telah publik selama bertahun-tahun dan tidak memiliki afiliasi dengan Microsoft. Tidak jelas bagaimana repositori GitHub ini masuk dalam daftar peretas.
ZDNet diberitahu bahwa tidak ada proyek Microsoft otentik yang diperoleh oleh peretas bahkan jauh sensitif. Kebijakan internal adalah bahwa akun repo pribadi Microsoft GitHub akan digunakan untuk menampung dan berbagi proyek dan dokumentasi sumber terbuka. Akun Microsoft GitHub juga digunakan untuk meng-host proyek-proyek swasta yang akan disediakan di bawah lisensi sumber terbuka di masa depan.