我的位置:首页 >> 最新文章

GitHub遭攻击黑客不交比特币就公开用户代码崔正哲

发布时间:2019-08-14 02:12:22 来源:纳尼娱乐网

程序员的大本营被黑客攻击了!

就在五一假期的最后一天,一些程序员查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,取而代之的是黑客留下的一封勒索信!

这封信中表示,他们已经将源代码下载并存储到了自己的服务器上。

受害者要在10天之内,往特定账户支付0.1比特币(约合人民币3800元),否则他们将会公开代码,或以其他的方式使用它们。

“要找回你丢失的代码并避免代码泄漏:将0.1比特币(BTC)发送至我们的比特币地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并通过邮件与我们联系,提供您的git登录信息和付款证明。地址为admin[at]gitsbackup[dot]com。

如果你不确定我们是否有你的数据,请联系我们,我们会给你发送证明。你的代码已经被下载并备份到我们的服务器上。

如果我们在接下来的10天内没有收到你的付款,我们将公开你的代码或以其他方式使用它们。”

从这个威胁话语来看,受到攻击的是GitHub上的私有库。而且,不仅仅是GitHub,其他代码托管网站GitLab、Bitbucket也受到了攻击。

突如其来的攻击

根据GitHub上的搜索数据显示,一共有373名用户受到了攻击。根据GitLab公布的数据,黑客至少可以访问所有131个用户和163个存储库。

这些受到攻击的储存库的代码和提交信息,全都被一个名为“gitbackup” 的账号删除。

在各大社交媒体上,一些受害者将遭到攻击归咎于Atlassian开发的Git GUI应用程序SourceTree,认为黑客利用了其中的漏洞。

但攻击波及的范围涵盖多个平台,The Register报道称,这次攻击很可能是针对无意识的安全性较差的存储库,而不是特定的漏洞。

根据ZdNet报道,黑客可能是扫描互联网上的Git配置,然后提取了其中的登录凭证登录Git库,来完成的这波操作。

截止到发稿时间,还没有人向攻击者的比特币账户支付赎金。取而代之的是,这一比特币地址遭到了不少举报。

根据Bitcoin Abuse数据库显示,已经有31人举报了这一比特币地址,表示对方是一个黑客,希望删除地址。

ZdNet记者Catalin Cimpanu表示,攻击现在已经停止,并没有新的账户被攻击的情况出现。

遭到攻击不要慌

根据GitLab的官方声明,这次黑客攻击事件最大的问题在用户:

“我们有充分证据表明,受影响帐户的密码以明文形式存储在相关代码库的部署中。”

因此提高安全意识才是保护自己代码的最好方法,GitLab建议用以下方法防止密码被黑客盗取:

1、使用强密码,降低被黑客破解的风险;

2、用密码管理工具存储密码,不要使用明文;

3、开启双因素身份验证,并使用SSH密钥提高。

如果你已经不幸中招,也不要急着交赎金,因为即使交钱也无法保证代码不会被黑客公开。

至于已经被删除的代码,一位早期受害者在StackExchange论坛指出,代码其实还在,是可以恢复出来的,只是HEAD被黑客修改了而已。

他还给出了一系列补救办法,被GitLab官方推荐。

输入以下代码:

git checkout origin/master

git reflog # take the SHA of the last commit of yours

git reset [SHA]

能看到黑客的提交记录,并修复origin/master。但是问题还没有完全解决,如果输入git status,还是会显示:

HEAD detached from origin/master

如果你在本地备份了代码,那就好办了,直接把本地代码强制push上去:

git push origin HEAD:master --force

如果你在本地没有备份,仍然可以从远程库克隆,用git reflog或者git fsck可以找到最后一次提交并更改HEAD。

接下来唯一需要担心的可能就是黑客是否会公布你的私有代码了。

代码被公开之痛

关于代码被公开,国内一些公司也有切肤之痛。

比如大疆,其一名前员工,将含有公司商业机密的代码上传到了GitHub的公有仓库中,造成源代码泄露。

根据这些源代码,攻击者可以SSL证书私钥,访问客户的敏感信息,比如用户信息、飞行日志等等。

根据评估,这次泄漏代码一共给大疆造成了116.4万的经济损失。

前不久,关于这一代码泄露事件也得到了判决:

“有期徒刑六个月,并处罚金20万。”

最近,B站的源代码也被人公开到GitHub,虽然很快被封禁,B站也已经报警处理,但有不少网友克隆了代码库,隐患已经埋下,补救起来也颇为头疼。

如果黑客公开了这次获取的所有代码,对其中一些小团队来说可能就是灭顶的打击了。

汕尾定做工服

潮州定做职业装

汕尾职业装厂家

相关阅读
鹿三失心疯黑娃报仇陷两难小娥死最心痛白孝文悲痛欲绝魔比

《白鹿原》正在热播,随着预告的播出更多的剧情浮出了水面。上次说到鹿三磨刀怒杀田小娥。这次预告主要分三个故事,1 田小娥的死被人发现,鹿三合计直接埋入窑中,有人装鬼,鹿三吓得要死

11月18日 16:39
李嘉欣现身日本街头晒美照称该回家了台山

国庆中秋8天小长假结束了,梳妆打扮开始继续努力工作。假期的最后一天,鹿晗突然公布自己和关晓彤的恋情,一时间整个世界都凌乱了。大美女李嘉欣抓住假期的尾巴游日本,中秋时她与家人在一

11月18日 16:35
蒋劲夫野蛮体魄更有一颗我行我素的灵魂这光头真的帅张真

今天,蒋劲夫在微博上晒出了一组帅照,并自称:文明精神,野蛮体魄,更有一颗我行我素的灵魂。1991年出生的蒋劲夫今年25周岁,给人印象最深的便是他一身的肌肉,作为力量型男拥有着成千上万

11月18日 16:32
北京单双号限行拥堵降70受市民称赞阜康

核心提示:在APEC开会期间,为了保证首都交通的通畅,而实行单双号限行,结果交通拥挤状况立马下降了70%,吸引了很多人的关注,下面我们也来瞧瞧吧. 昨日是APEC调休放假第二天,机动车单双号限

11月18日 16:21
圆脸快学赵丽颖编发赵丽颖编发发型图片冀州

圆脸很容易给人留下可爱的固定印象,作为圆脸女星的代表,赵丽颖虽然也显得很可爱和萌萌哒,但是在出席不同场合的时候,她会通过做不同的编发造型给自己带来气质上的改变,有时优雅、有时

11月18日 16:10
为什么李小龙格斗能力强看看他和泰森施瓦辛格的脖子就知道扎兰屯

一般来说,脖子粗的人力气也大,所以作为一个格斗家,李小龙特别注重脖子的锻炼。他在一些格斗场景中,用尽全力的时候,粗壮的脖子特别明显,这就表明,李小龙的力量确实非常大,格斗能力

11月18日 15:53
友情链接: