Angreifer verschafft sich Zugang zu Microsofts GitHub-Konto, erbeutet nichts Wertvolles

Der Angriff scheint glimpflich verlaufen zu sein, lässt allerdings Fragen zu den Sicherheitsvorkehrungen bei Microsoft offen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 33 Beiträge
Microsoft

(Bild: dpa, Matthias Balk/dpa)

Von
  • Fabian A. Scherschel

Ein Hacker hat es geschafft, sich Zugang zum offiziellen Microsoft-Konto auf GitHub zu verschaffen. Der Angriff ist angeblich im März erfolgt und kam ans Licht der Öffentlichkeit, als der unbekannte Angreifer Anfang der Woche knapp 500 GB Daten, die er aus mehr als eintausend privaten GitHub-Repos erbeutet hatte, frei verfügbar ins Internet stellte. Allerdings stammt anscheinend nur ein Bruchteil der erbeuteten Repos wirklich aus dem Konto von Microsoft und diese enthalten keine wirklich sensiblen Daten.

Microsoft hatte die Code-Hosting-Plattform GitHub Ende 2018 erworben und nutzt sein offizielles Konto auf der Plattform dazu, Open-Source-Projekte und Dokumentation für eigene Programme zu veröffentlichen. Laut Microsoft sind die privaten Repos in diesem Konto allesamt Code, der in Zukunft unter Open-Source-Lizenzen bereitgestellt werden soll. Teile dieser Quellcode-Repos hatte der Hacker erbeutet. Die von dem Unbekannten zum Download bereitgestellten Daten enthalten allerdings auch eine Menge Daten aus Open-Source-Projekten, die gar nichts mit Microsoft zu tun haben. Laut eines Berichts der US-Nachrichtenseite ZDNet haben einige Microsoft-Mitarbeiter ausgesagt, dass der Code ihrer privaten Repos aus dem Microsoft-GitHub-Konto nicht in dem Download zu finden ist.

Es scheint also so, als habe der Hacker nichts wirklich Wertvolles erbeuten können, was höchstwahrscheinlich auch der Grund dafür ist, dass der Unbekannte die Daten einfach zum Download gestellt hat. Hätte er echte Geschäftsgeheimnisse erbeutet, wären die wohl heimlich verkauft worden und der Hack wäre nicht so schnell bekannt geworden. Ähnliche Fälle mündeten in der Vergangenheit auch immer wieder in Erpressungsversuche gegen die Firma, die Opfer eines solchen Angriffs wurde.

Auch wenn dieser Angriff glimpflich für Microsoft ausgegangen zu sein scheint, ist es trotzdem peinlich für den Tech-Konzern, dass es überhaupt gelungen ist, in das GitHub-Konto einzudringen. Laut ZDNet wurde das Konto mittlerweile abgesichert und alle beim Angriff geleakten Zugriffs-Credentials zurückgesetzt. Allerdings hat Microsoft bisher keine öffentliche Stellungnahme dazu abgegeben, wie es überhaupt dazu kommen konnte, dass sich ein anscheinend beliebiger Angreifer aus dem Internet Zugriff auf das offizielle GitHub-Konto der Firma erschleichen konnte. (fab)