GitHub遭攻击!黑客:不交比特币,就公开用户代码

  • 时间:
  • 浏览:0

图片来源图虫:已授站长之家使用

声明:本文来自于微信公众号 量子位(ID:QbitAI),作者:晓查 乾明,授权站长之家转载发布。

守护线程员的大本营被黑客攻击了!

就在五一假期的最后一天,其他守护线程员查看自己托管到GitHub上的代码时发现,亲戚我们都都的源代码和Repo都已消失不见,取而代之的是黑客留下的一封勒索信!

这封信中表示,亲戚我们都都因此将源代码下载并存储到了自己的服务器上。

受害者要在 10 天之内,往特定账户支付0. 1 比特币(约合人民币 3100 元),因此亲戚我们都都因此公开代码,或以其他的法子使用它们。

“要找回你丢失的代码并避免代码泄漏:将0. 1 比特币(BTC)发送至亲戚亲戚我们都都的比特币地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并通过邮件与亲戚亲戚我们都都联系,提供您的git登录信息和付款证明。地址为admin[at]gitsbackup[dot]com。

因此你不选取亲戚亲戚我们都都不 是是是否是是你的数据,请联系亲戚亲戚我们都都,亲戚亲戚我们都都会愿意发送证明。你的代码因此被下载并备份到亲戚亲戚我们都都的服务器上。

因此亲戚亲戚我们都都不 接下来的 10 天内这样收到你的付款,亲戚亲戚我们都都将公开你的代码或以其他法子使用它们。”

从你这人威胁话语来看,受到攻击的是GitHub上的私有库。因此,不仅仅是GitHub,其他代码托管网站GitLab、Bitbucket也受到了攻击。

突如其来的攻击

根据GitHub上的搜索数据显示,一共有 373 名用户受到了攻击。根据GitLab发表声明的数据,黑客要花费都须要访问所有 131 个用户和 163 个存储库。

哪此受到攻击的储存库的代码和提交信息,越多越多被另一一八个多名为 “gitbackup” 的账号删除。

在各大社交媒体上,其他受害者将遭到攻击归咎于Atlassian开发的Git GUI应用守护线程SourceTree,认为黑客利用了其中的漏洞。

但攻击波及的范围涵盖多个平台,The Register报道称,这次攻击很因此是针对无意识的安全性较差的存储库,而都不 特定的漏洞。

根据ZdNet报道,黑客因此是扫描互联网上的Git配置,因此提取了其中的登录凭证登录Git库,来完成的这波操作。

截止到发稿时间,还这样人向攻击者的比特币账户支付赎金。取而代之的是,你这人比特币地址遭到了不少举报。

根据Bitcoin Abuse数据库显示,因此有 31 人举报了你这人比特币地址,表示对方是另一一八个多黑客,希望删除地址。

ZdNet记者Catalin Cimpanu表示,攻击现在因此停止,并这样新的账户被攻击的具体情况跳出。

遭到攻击不让慌

根据GitLab的官方声明,这次黑客攻击事件最大的问题图片在用户:

“亲戚亲戚我们都都不 充分证据表明,受影响帐户的密码以明文形式存储在相关代码库的部署中。”

因此提高安全意识才是保护自己代码的最好法子,GitLab建议用以下法子避免密码被黑客盗取:

1、使用强密码,降低被黑客破解的风险;

2、用密码管理工具存储密码,不让使用明文;

3、开启双因素身份验证,并使用SSH密钥提高。

因此你因此不幸中招,只是我要急着交赎金,因此即使交钱也无法保证代码不让被黑客公开。

至于因此被删除的代码,一位早期受害者在StackExchange论坛指出,代码确实还在,是都须要恢复出来的,只是我HEAD被黑客修改了而已。

他还给出了一系列避免法子,被GitLab官方推荐。

输入以下代码:

git checkout origin/master

git reflog # take the SHA of the last commit of yours

git reset [SHA]

能看了黑客的提交记录,并修复origin/master。因此问题图片还这样完整性避免,因此输入git status,还是会显示:

HEAD detached from origin/master

因此你在本地备份了代码,那就好办了,直接把本地代码强制push上去:

git push origin HEAD:master --force

因此你在本地这样备份,仍然都须要从远程库克隆qq好友好友,用git reflog因此git fsck都须要找到最后一次提交并更改HEAD。

接下来唯一须要担心的因此只是我黑客是是是否是是会发表声明你的私有代码了。

代码被公开之痛

关于代码被公开,国内其他公司都不 切肤之痛。

比如大疆,其一名前员工,将涵盖公司商业机密的代码上传到了GitHub的公有仓库中,造成源代码泄露。

根据哪此源代码,攻击者都须要SSL证书私钥,访问客户的敏感信息,比如用户信息、飞行日志等等。

根据评估,这次泄漏代码一共给大疆造成了116. 4 万的经济损失。

前不久,关于你这人代码泄露事件也得到了判决:

“有期徒刑八个月,并处罚金 20 万。”

最近,B站的源代码也被人公开到GitHub,确实快一点 被封禁,B站也因此报警避免,但有不少前前日本外国网友克隆qq好友好友了代码库,隐患因此埋下,避免起来也颇为头疼。

因此黑客公开了这次获取的所有代码,对其中其他小团队来说因此只是我灭顶的打击了。