就在五一假期的最后一天,一些程序員查看自己托管到GitHub上的代碼時(shí)發(fā)現(xiàn),他們的源代碼和Repo都已消失不見(jiàn),取而代之的是黑客留下的一封勒索信!
這封信中表示,他們已經(jīng)將源代碼下載并存儲(chǔ)到了自己的服務(wù)器上。受害者要在10天之內(nèi),往特定賬戶支付0.1比特幣(約合人民幣3800元),否則他們將會(huì)公開(kāi)代碼,或以其他的方式使用它們。
“要找回你丟失的代碼并避免代碼泄漏:將0.1比特幣(BTC)發(fā)送至我們的比特幣地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并通過(guò)郵件與我們聯(lián)系,提供您的git登錄信息和付款證明。地址為admin[at]gitsbackup[dot]com。如果你不確定我們是否有你的數(shù)據(jù),請(qǐng)聯(lián)系我們,我們會(huì)給你發(fā)送證明。你的代碼已經(jīng)被下載并備份到我們的服務(wù)器上。如果我們?cè)诮酉聛?lái)的10天內(nèi)沒(méi)有收到你的付款,我們將公開(kāi)你的代碼或以其他方式使用它們。”
從這個(gè)威脅話語(yǔ)來(lái)看,受到攻擊的是GitHub上的私有庫(kù)。而且,不僅僅是GitHub,其他代碼托管網(wǎng)站GitLab、Bitbucket也受到了攻擊。
突如其來(lái)的攻擊
根據(jù)GitHub上的搜索數(shù)據(jù)顯示,一共有373名用戶受到了攻擊。根據(jù)GitLab公布的數(shù)據(jù),黑客至少可以訪問(wèn)所有131個(gè)用戶和163個(gè)存儲(chǔ)庫(kù)。這些受到攻擊的儲(chǔ)存庫(kù)的代碼和提交信息,全都被一個(gè)名為“gitbackup” 的賬號(hào)刪除。在各大社交媒體上,一些受害者將遭到攻擊歸咎于Atlassian開(kāi)發(fā)的Git GUI應(yīng)用程序SourceTree,認(rèn)為黑客利用了其中的漏洞。但攻擊波及的范圍涵蓋多個(gè)平臺(tái),The Register報(bào)道稱,這次攻擊很可能是針對(duì)無(wú)意識(shí)的安全性較差的存儲(chǔ)庫(kù),而不是特定的漏洞。
根據(jù)ZdNet報(bào)道,黑客可能是掃描互聯(lián)網(wǎng)上的Git配置,然后提取了其中的登錄憑證登錄Git庫(kù),來(lái)完成的這波操作。截止到發(fā)稿時(shí)間,還沒(méi)有人向攻擊者的比特幣賬戶支付贖金。取而代之的是,這一比特幣地址遭到了不少舉報(bào)。
根據(jù)Bitcoin Abuse數(shù)據(jù)庫(kù)顯示,已經(jīng)有31人舉報(bào)了這一比特幣地址,表示對(duì)方是一個(gè)黑客,希望刪除地址。ZdNet記者Catalin Cimpanu表示,攻擊現(xiàn)在已經(jīng)停止,并沒(méi)有新的賬戶被攻擊的情況出現(xiàn)。
遭到攻擊不要慌
根據(jù)GitLab的官方聲明,這次黑客攻擊事件最大的問(wèn)題在用戶:“我們有充分證據(jù)表明,受影響帳戶的密碼以明文形式存儲(chǔ)在相關(guān)代碼庫(kù)的部署中。”因此提高安全意識(shí)才是保護(hù)自己代碼的最好方法,GitLab建議用以下方法防止密碼被黑客盜取:
1.使用強(qiáng)密碼,降低被黑客破解的風(fēng)險(xiǎn);
2.用密碼管理工具存儲(chǔ)密碼,不要使用明文;
3.開(kāi)啟雙因素身份驗(yàn)證,并使用SSH密鑰提高。
如果你已經(jīng)不幸中招,也不要急著交贖金,因?yàn)榧词菇诲X也無(wú)法保證代碼不會(huì)被黑客公開(kāi)。
至于已經(jīng)被刪除的代碼,一位早期受害者在StackExchange論壇指出,代碼其實(shí)還在,是可以恢復(fù)出來(lái)的,只是HEAD被黑客修改了而已。他還給出了一系列補(bǔ)救辦法,被GitLab官方推薦。接下來(lái)唯一需要擔(dān)心的可能就是黑客是否會(huì)公布你的私有代碼了。
代碼被公開(kāi)之痛
關(guān)于代碼被公開(kāi),國(guó)內(nèi)一些公司也有切膚之痛。比如大疆,其一名前員工,將含有公司商業(yè)機(jī)密的代碼上傳到了GitHub的公有倉(cāng)庫(kù)中,造成源代碼泄露。根據(jù)這些源代碼,攻擊者可以SSL證書(shū)私鑰,訪問(wèn)客戶的敏感信息,比如用戶信息、飛行日志等等。根據(jù)評(píng)估,這次泄漏代碼一共給大疆造成了116.4萬(wàn)的經(jīng)濟(jì)損失。前不久,關(guān)于這一代碼泄露事件也得到了判決:“有期徒刑六個(gè)月,并處罰金20萬(wàn)。”
最近,B站的源代碼也被人公開(kāi)到GitHub,雖然很快被封禁,B站也已經(jīng)報(bào)警處理,但有不少網(wǎng)友克隆了代碼庫(kù),隱患已經(jīng)埋下,補(bǔ)救起來(lái)也頗為頭疼。
如果黑客公開(kāi)了這次獲取的所有代碼,對(duì)其中一些小團(tuán)隊(duì)來(lái)說(shuō)可能就是滅頂?shù)拇驌袅恕?br />
(本文來(lái)源于微信公眾號(hào):量子位)
廣東藍(lán)訊智能科技為企業(yè)用戶提供
網(wǎng)絡(luò)安全整體解決方案,歡迎來(lái)電咨詢,電話:
180-2899-0096.
13580762200/13725734438/18028990096
