当前位置:主页 > SEO优化 >

GitHub遭攻击!黑客:不交比特币就公开用户代码

作者: 奕星SEO 分类: SEO优化 发布时间: 2019-08-23 17:52 内容来源:网络整理阅读量:

  就在五一假期的最后一天,一些程序员查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,取而代之的是黑客留下的一封勒索信!

GitHub遭攻击!黑客:不交比特币就公开用户代码

  受害者要在10天之内,往特定账户支付0.1比特币(约合人民币3800元),否则他们将会公开代码,或以其他的方式使用它们。

  如果你不确定我们是否有你的数据,请联系我们,我们会给你发送证明。你的代码已经被下载并备份到我们的服务器上。

  如果我们在接下来的10天内没有收到你的付款,我们将公开你的代码或以其他方式使用它们。”

  从这个威胁话语来看,受到攻击的是GitHub上的私有库。而且,不仅仅是GitHub,其他代码托管网站GitLab、Bitbucket也受到了攻击。

GitHub遭攻击!黑客:不交比特币就公开用户代码

  根据GitHub上的搜索数据显示,一共有373名用户受到了攻击。根据GitLab公布的数据,黑客至少可以访问所有131个用户和163个存储库。

GitHub遭攻击!黑客:不交比特币就公开用户代码

  这些受到攻击的储存库的代码和提交信息,全都被一个名为“gitbackup” 的账号删除。

  在各大社交媒体上,一些受害者将遭到攻击归咎于Atlassian开发的Git GUI应用程序SourceTree,认为黑客利用了其中的漏洞。

  但攻击波及的范围涵盖多个平台,The Register报道称,这次攻击很可能是针对无意识的安全性较差的存储库,而不是特定的漏洞。

  根据ZdNet报道,黑客可能是扫描互联网上的Git配置,然后提取了其中的登录凭证登录Git库,来完成的这波操作。

  截止到发稿时间,还没有人向攻击者的比特币账户支付赎金。取而代之的是,这一比特币地址遭到了不少举报。

GitHub遭攻击!黑客:不交比特币就公开用户代码

  根据Bitcoin Abuse数据库显示,已经有31人举报了这一比特币地址,表示对方是一个黑客,希望删除地址。

GitHub遭攻击!黑客:不交比特币就公开用户代码

  ZdNet记者Catalin Cimpanu表示,攻击现在已经停止,并没有新的账户被攻击的情况出现。

  “我们有充分证据表明,受影响帐户的密码以明文形式存储在相关代码库的部署中。”

  因此提高安全意识才是保护自己代码的最好方法,GitLab建议用以下方法防止密码被黑客盗取:

  如果你已经不幸中招,也不要急着交赎金,因为即使交钱也无法保证代码不会被黑客公开。

  至于已经被删除的代码,一位早期受害者在StackExchange论坛指出,代码其实还在,是可以恢复出来的,只是HEAD被黑客修改了而已。

  能看到黑客的提交记录,并修复origin/master。但是问题还没有完全解决,如果输入git status,还是会显示:

  如果你在本地没有备份,仍然可以从远程库克隆,用git reflog或者git fsck可以找到最后一次提交并更改HEAD。

  比如大疆,其一名前员工,将含有公司商业机密的代码上传到了GitHub的公有仓库中,造成源代码泄露。

  根据这些源代码,攻击者可以SSL证书私钥,访问客户的敏感信息,比如用户信息、飞行日志等等。

  最近,B站的源代码也被人公开到GitHub,虽然很快被封禁,B站也已经报警处理,但有不少网友克隆了代码库,隐患已经埋下,补救起来也颇为头疼。

  如果黑客公开了这次获取的所有代码,对其中一些小团队来说可能就是灭顶的打击了。


本文链接地址:http://www.seohuizhou.com/seoyouhua/2369.html
上一篇:<<民营火箭再添新玩家「凌空天行」宣布完成源码资本领投数千万
下一篇:MoreART 分享丨优秀设计师必须知道的Pentagram>>