「大中型程序猿交友平台」也被别人看上了。现阶段已经有几十个账户遭受危害,黑客也将勒索范畴伸到了Bitbucket和GitLab等相近代码托管网址。被危害的好像全是登陆密码/安全性抗压强度较差的账户。现阶段大家还不清楚在这次事情中有什么有價值的內容被盗取。
在 GitHub 上托管代码,请保护好自己的账户。近日,一名黑客不法进入了很多 GitHub 账户的行为引起了大家的关心,据悉他早已删除了许多大家代管的代码库,并为此勒索保释金以修复信息。
现阶段最少在 GitHub 上就已蔓延到了最少 392 个不一样的客户。「为了更好地修复你失掉的信息并让他们可免于泄漏,请交到大家 0.1 BTC(BTC)给账户 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并发送邮件给 admin@gitsbackup.com 告之你的 Git 账户和付款凭证。」勒索信中写到。
勒索信內容,黑客放话 10 天不交BTC就曝出你的编码
除开 GitHub 以外,Bitbucket 和 GitLab 等相近服务项目也遭受了一样的事儿。好多个服务平台官方网现阶段均表明,黑客总体目标是这些登陆密码简易,或是在不一样网站上采用同样登陆密码的客户。
「现阶段,大家看到一些客户的账户正是因为不明第三方泄漏而遭受损害,」GitHub 在一份申明中表明。「大家已经与受影响的客户协作,以维护和修复她们的账号。」
现阶段在 GitHub 上能够看见,已经有 392 人遭受勒索
BitBucket 拥有人,Atlassian 的一名安全性研究者表明,现阶段最少已经有 1000 名客户遭受了编码勒索,但尚不清楚是不是有一切有價值的內容已被盗取。由于 GitHub 上面有许多內容是公布并被激励散播的。而被危害私有化编码也是有很有可能并非那麼关键,乃至仅仅还没完成的內容。
尽管大家不清楚代码库是不是会被毁坏,但他们还不可以被黑客彻底删除。5 月 3 日,Bitbucket 网址表明她们方案在未来 24 钟头内回退受影响的代码库。也是有客户称自身根据「浏览黑客的 hash」找到了被移除的编码。
GitLab 安全性责任人 Kathy Wang 对于此事则表明:「大家拥有的证明说明被蔓延到的账户其登陆密码在别的相关内容库里是以密文方式存放的。大家建议应用账号管理专用工具,并且以更可靠的形式储存登陆密码。」
「大家依然在调研这个问题,但现阶段已发觉一些受影响的账户中,在没有安全性的实施运用详细地址里的硬编码凭证拥有『最新版本』脚本制作。」Kathy Wang 讲到。假如黑客会像他所宣称的一样付诸行动,如不付款使用价值 566 美金的保释金,很多客户的编码便会被公布。但现在来看有关的BTC账户依然沒有点卷进账。
GitHub:请提高你的登陆密码抗压强度
忽然的危害让 GitHub 如临大敌。5 月 4 日晚,GitHub 传出了官方网申明:企业现已与受影响的精英团队,及其别的网址一同开展了调研,并没发觉 GitHub 的登陆认证系统软件被攻克。应对此次危害,GitHub、Bitbucket 和 Gitlab 的官方网提议全是同样的:请加强你的登陆密码抗压强度,并打开二次验证登陆方法。
也是有网民找到修复删掉信息的方式。在 stackexchange.com 上,一名GitLab 网民根据试着浏览 hash 的方法试出黑客的「删掉」编码事实上仅仅改动了 HEAD 中的內容。
他也提供了自个的「破译」方法,并取得了大家的关注点赞。
键入
你也就能够看见黑客的 commit;键入
则能够看见全部的被删除文件夹;键入
可以幫助你修复 origin/master
假如你的当地还存在编码,键入
就可以修复全部內容了。
参照內容:
- https://motherboard.vice.com/en_us/article/vb9v33/github-bitbucket-repositories-ransomware
- https://www.pcmag.com/news/368158/hacker-tries-to-ransom-github-code-repositories-for-bitcoin
- https://mspoweruser.com/developers-at-microsofts-github-are-being-held-to-ransom/
【文中是51CTO栏目组织“机器之心”的原創译文翻译,微信公众平台“机器之心( id: almosthuman2014)”】
戳这儿,看该创作者大量好文章