微軟在31日透露,除了察覺內部環境安裝了惡意的SolarWinds應用程式之外,進一步的調查發現駭客已存取了該公司的程式碼。

根據微軟的說明,他們偵測到少數內部帳號的不尋常活動,其中有一個帳號被用來查閱多個原始碼儲存庫中所存放的原始碼,不過,此一帳號並無變更任何程式碼或工程系統的權限,微軟亦進一步確認未遭到變更。

由於微軟在程式碼的開發上是採用「內源」(Inner Source)作法,它遵循開源碼開發的最佳實踐,並於組織內建立類似開源的文化,讓內部工程師都能存取原始碼並進行開發。微軟表示,這意謂著該公司並非依靠原始碼的機密性來保障產品安全,且微軟的威脅模型其實是假設駭客具備原始碼知識,因此,僅是察看原始碼並不會擴大產品的安全風險。

除了坦承駭客的確存取了該公司的原始碼之外,微軟強調,並未發現駭客濫用偽造的SAML令牌來危害微軟網域的證據,駭客亦未存取微軟的各種生產服務或客戶資料,此外,駭客並沒有利用微軟的系統來攻擊其它企業。


熱門新聞

Advertisement