एक हैकिंग समूह ने Microsoft को मारा है, Azure DevOps स्रोत कोड रिपॉजिटरी में प्रवेश कर रहा है और Cortana और कई अन्य Microsoft परियोजनाओं के लिए स्रोत कोड लीक कर रहा है। यह "LAPSUS$" के नाम से जाने वाले समूह द्वारा हमलों का नवीनतम दौर है, जिसने सफलतापूर्वक Nvidia, Ubisoft और अन्य बड़े प्रौद्योगिकी दिग्गजों को भी निशाना बनाया ।
22 मार्च को आने वाले समूह के नवीनतम अपडेट में 9GB संग्रह को साझा करना शामिल है, जिसमें 250 Microsoft परियोजनाओं के लिए स्रोत कोड है। उनमें से, समूह बिंग के लिए 90% स्रोत कोड और बिंग मैप्स और कॉर्टाना के लिए स्रोत कोड का 45% होने का दावा करता है। यह केवल कुछ हैक किया गया डेटा है, जिसमें पूरे संग्रह में 37GB Microsoft स्रोत कोड है।
विंडोज और ऑफिस के सोर्स कोड को लीक में शामिल नहीं किया गया है, ब्लीपिंग कंप्यूटर के अनुसार, जो मानता है कि लीक हुई फाइलें असली हैं। इसके बजाय फाइलें मोबाइल ऐप या वेबसाइटों से जुड़ी होती हैं और इनमें ईमेल और अन्य दस्तावेज़ होते हैं जिनका उपयोग Microsoft इंजीनियरों द्वारा आंतरिक रूप से किया जाता है जिन्होंने परियोजनाओं पर काम किया था।
Microsoft ने एक ब्लॉग पोस्ट में हैक की पुष्टि की है, जिसमें LAPSUS$ समूह की कार्रवाइयों का विवरण दिया गया है जिसे वह DEV-0537 के रूप में ट्रैक करता है। पोस्ट में, माइक्रोसॉफ्ट ने कहा कि हैकर्स के पास स्रोत कोड तक "सीमित पहुंच" थी क्योंकि एक ही खाते से समझौता किया गया था। माइक्रोसॉफ्ट ने आगे बताया कि गतिविधियों में कोई ग्राहक कोड या डेटा शामिल नहीं था।
"हमारी जांच में पाया गया है कि सीमित पहुंच प्रदान करते हुए एक एकल खाते से समझौता किया गया था। हमारी साइबर सुरक्षा प्रतिक्रिया टीम जल्दी से छेड़छाड़ किए गए खाते को ठीक करने और आगे की गतिविधि को रोकने के लिए लगी हुई है, "माइक्रोसॉफ्ट ने कहा।
कंपनी ने यह भी उल्लेख किया कि वह सुरक्षा उपाय के रूप में कोड की गोपनीयता पर भरोसा नहीं करती है और स्रोत कोड को देखने से जोखिम नहीं बढ़ता है। यह वैसा ही है जैसा माइक्रोसॉफ्ट ने सोलारिगेट जांच के दौरान समझाया था, जहां एक समझौता किए गए खाते का उपयोग स्रोत कोड देखने के लिए किया गया था, हालांकि उसके पास इंजीनियरिंग सिस्टम को संशोधित करने की अनुमति नहीं थी।
"हमारी टीम पहले से ही खतरे की खुफिया जानकारी के आधार पर समझौता किए गए खाते की जांच कर रही थी जब अभिनेता ने सार्वजनिक रूप से अपनी घुसपैठ का खुलासा किया। इस सार्वजनिक प्रकटीकरण ने हमारी कार्रवाई को बढ़ा दिया, जिससे हमारी टीम को हस्तक्षेप करने और अभिनेता को मध्य-संचालन में बाधा डालने की अनुमति मिली, जिससे व्यापक प्रभाव सीमित हो गया, ”माइक्रोसॉफ्ट ने समझाया।
यह जितना खतरनाक लगता है, हैकिंग समूह LAPSUS$, विशिष्ट नहीं है। लाभ कमाने के लिए समूह तकनीकी दिग्गजों के लिए स्रोत कोड फिरौती रखने में अधिक रुचि रखता है। ऐसा इसलिए है क्योंकि स्रोत कोड रिपॉजिटरी में एपीआई कुंजी और कोड हस्ताक्षर प्रमाणपत्र भी हो सकते हैं। LAPSUS$ ने एनवीडिया के साथ ऐसा किया जब उसने DLSS कोड चुरा लिया और मांग की कि GPU निर्माता "पूरी तरह से ओपन-सोर्स (और FOSS लाइसेंस के तहत वितरित) [इसके] GPU ड्राइवर।"
LAPSUS$ हैक के लिए Microsoft प्रतिक्रिया के साथ 23 मार्च को आलेख अपडेट किया गया।