本周二，Lapsus$黑客組織聲稱泄露了從微軟內部Azure DevOps服務器竊取的Bing、Cortana和其他項目的源代碼。

　　周日清晨，Lapsus$團伙在他們的Telegram頻道上發(fā)布了一張屏幕截圖，以此證明他們入侵了微軟的Azure DevOps服務器，其中包含Bing、Cortana和其他各種內部項目的源代碼（下圖）。

　　周二中午，黑客組織發(fā)布了一個9GB大小的7zip壓縮文檔種子，其中包含他們聲稱屬于微軟的250多個項目的源代碼。Lapsus$表示其中包含90%的Bing源代碼以及大約45%的Bing Maps和Cortana代碼。

　　Lapsus$告訴bleepingcomputer，這次公開的只是微軟泄露源代碼的一部分，其他未壓縮的存檔包含大約37GB的源代碼。

　　Lapsus$還透露，一些泄露的項目包含電子郵件和文檔，這些電子郵件和文檔顯然被微軟工程師在內部用于發(fā)布移動應用程序。

　　目前已公開泄露主要是Web基礎設施、網(wǎng)站或移動應用程序的源碼，Lapsus$還沒有發(fā)布微軟桌面軟件的源代碼，包括Windows、Windows Server和Microsoft Office。

　　目前尚不清楚Lapsus$是如何接連攻破了包括英偉達、三星在內的科技巨頭的源代碼庫。威脅情報分析師Tom Malka認為，Lapsus$正在以支付訪問權限費用的方式賄賂公司內部人員。而Lapsus$此前確實曾宣布，他們愿意從員工那里購買網(wǎng)絡訪問權。不過根據(jù)消息人士透露的論壇記錄，Lapsus$迄今只向戴爾的內部員工支付過費用。

　　顯然，Lapsus$獲取初始訪問權限的方式絕不僅僅是收買“內鬼”。Lapsus$此前曾發(fā)布了身份驗證和身份管理平臺Okta內部網(wǎng)站的屏幕截圖，如果Lapsus$真的成功入侵了Okta的網(wǎng)絡，那么將“解鎖”大量Okta的企業(yè)客戶。