当地时间5月3日,黑客攻击了程序员的大本营——Github代码库。
一些开发者发现自己托管到GitHub上的代码存储库被删除,取而代之的是黑客留下的比特币勒索信。
“To recover your lost code and avoid leaking it: Send us 0.1 Bitcoin (BTC) to our Bitcoin address 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA and contact us by Email at admin@gitsbackup.com with your Git login and a Proof of Payment.”
作为交换,开发者需要支付0.1比特币的赎金,相当于约570美元(约合人民币3800元)。
黑客声称愿意发送他们持有的代码证据,并已经在他们自己的服务器上备份。
“如果在接下来的10天内没有收到您的付款,我们会将您的代码公开或以其他方式使用。”黑客通知道。
并且,除了Github之外,黑客还在同类网站Bitbucket和GitLab上采取了同样的勒索手段。
这在国外的开发者圈里引起了热烈讨论。
根据GitHub上的搜索数据显示,至少有392个GitHub存储库遭到入侵。
不过截至本文撰写时,黑客公布的比特币账户都没有收到任何汇款,反而遭到了一波异常活动举报。
看来开发者们对代码托管平台都比较有信心,相信官方能在十天内处理好泄露危机。
有证据表明,黑客可能是扫描互联网上的Git配置,然后提取了其中的登录凭证登录Git库,来完成的这波操作。
一些受害者用户表示,他们都习惯使用较弱等级的密码用于GitHub,GitLab和Bitbucket帐户,并且忘记了删除访问令牌。
一般来说,这类帐户通常都更容易受到黑客的青睐。
GitLab安全总监Kathy Wang表示:“我们已经确定了受影响的用户帐户,有充分的证据表明这些帐户将帐户密码以明文形式存储在相关存储库的部署中。”
目前,遭到攻击的这三个代码托管平台都已发布了各自的安全声明,表示此事正在调查中,并要求用户不要支付赎金。
此外,GitLab还建议用以下方法防止密码被黑客盗取:
1.使用强密码,降低被黑客破解的风险;
2.用密码管理工具存储密码,不要使用明文;
3.开启双因素身份验证,并使用SSH密钥提高。
GitHub建议大家使用双重身份验证和强密码,以获得更好的保护。
不过,一名受害者表示,即使启用了双因素身份验证,黑客仍然可以获得访问权限,这表明GitHub系统中存在漏洞。
网友评论