【為什麼我們要挑選這篇文章】本是同根生,相煎何太急。駭客、工程師都是寫 Code 的好夥伴,幹嘛想不開攻擊 GitHub,甚至進行勒索呢?(責任編輯:陳伯安)
本文經 AI 新媒體量子位(公眾號 ID:QbitAI)授權轉載,轉載請聯繫出處
作者:量子位/ 曉查 乾明
工程師的大本營被駭客攻擊了。
就在五一假期的最後一天(編按:中國五一勞動節皆為連假),一些工程師查看自己放到 GitHub 上的程式碼時發現,他們的原始碼和 Repo 都已消失不見,取而代之的是駭客留下的一封勒索信。
這封信中表示,他們已經將原始碼下載並存儲到了自己的服務器上。
受害者要在 10 天之內,往特定帳戶支付 0.1 比特幣(約 17,000 台幣),否則他們將會公開程式碼,或以其他的方式使用它們。
要找回丟失的程式碼並避免程式碼洩漏:將 0.1 比特(BTC)發送至我們的比特幣地址 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA ,並通過郵件與我們聯繫,提供您的 git 登錄信息和付款證明。地址為 admin[at]gitsbackup[dot]com。
如果你不確定我們是否有你的數據,請聯繫我們,我們會給你發送證明。你的程式碼已經被下載並備份到我們的服務器上。
如果我們在接下來的 10 天內沒有收到你的付款,我們將公開你的程式碼或以其他方式使用它們。
從這個威脅話語來看,受到攻擊的是 GitHub 上的私有資料庫。而且,不僅僅是 GitHub,其他程式碼管理網站 GitLab、Bitbucket 也受到了攻擊。
上百名用戶受害,兇手專攻「私有數據庫」
根據 GitHub 上的搜索數據顯示,一共有 373 名用戶受到了攻擊。根據 GitLab 公佈的數據,駭客至少可以訪問所有 131 個用戶和 163 個資料庫。
這些受到攻擊的資料庫的程式碼和提交信息,全都被一個名為「gitbackup」的帳號刪除。
在各大社交媒體上,一些受害者將遭到攻擊歸咎於 Atlassian 開發的 Git GUI 應用程序 SourceTree,認為駭客利用了其中的漏洞。
但攻擊波及的範圍涵蓋多個平台,The Register 報道稱,這次攻擊很可能是針對無意識的安全性較差的存儲庫,而不是特定的漏洞。
根據 ZdNet 報道,駭客可能是掃描網路上的 Git 配置,然後提取了其中的登錄憑證登錄 Git 庫,來完成的這波操作。
截止到發稿時間(5/5),還沒有人向攻擊者的比特幣帳戶支付贖金。取而代之的是,這一比特幣地址遭到了不少舉報。
根據 Bitcoin Abuse 數據庫顯示,已經有 31 人舉報了這一比特幣地址,表示對方是一個駭客,希望刪除地址。
ZdNet 記者 Catalin Cimpanu 表示,攻擊現在已經停止,並沒有新的帳戶被攻擊的情況出現。
被攻擊帳號有個共通點:密碼沒有保護好
根據 GitLab 的官方聲明,這次駭客攻擊事件最大的問題在用戶:
「我們有充分證據表明,受影響帳戶的密碼以明文形式存儲在相關程式碼數據庫的部署中。」
因此提高安全意識才是保護自己程式碼的最好方法,GitLab 建議用以下方法防止密碼被駭客盜取:
1、使用強密碼,降低被駭客破解的風險
2、用密碼管理工具存儲密碼,不要使用明文
3、開啓雙因素身份驗證,並使用 SSH 密鑰提高
如果你已經不幸中招,也不要急著交贖金,因為即使交錢也無法保證程式碼不會被駭客公開。
至於已經被刪除的程式碼,一位早期受害者在 StackExchange 論壇指出,程式碼其實還在,是可以恢復出來的,只是 HEAD 被駭客修改了而已。
他還給出了一系列補救辦法,被 GitLab 官方推薦。
專家教你如何補救
輸入以下程式碼:
git checkout origin/master
git reflog # take the SHA of the last commit of yours
git reset [SHA]
能看到駭客的提交記錄,並修復 origin/master。但是問題還沒有完全解決,如果輸入 git status,還是會顯示:
HEAD detached from origin/master
如果你在本地備份了程式碼,那就好辦了,直接把本地程式碼強制 push 上去:
git push origin HEAD:master –force
如果你沒有備份,仍然可以從遠端數據庫複製過來,用 git reflog 或者 git fsck 可以找到最後一次提交並更改 HEAD。
接下來唯一需要擔心的可能就是駭客是否會公佈你的私有程式碼了。
中、小企業頂得住程式碼公開的代價嗎?
關於程式碼被公開,中國一些公司也有切膚之痛。
比如大疆,其一名前員工,將含有公司商業機密的程式碼上傳到了 GitHub 的公有倉庫中,造成源程式碼洩露。
根據這些原始碼,攻擊者可以 SSL 證書私鑰,訪問客戶的敏感信息,比如用戶信息、飛行日誌等等。
根據評估,這次洩漏程式碼一共給大疆造成了 116.4 萬人民幣(約 582 萬台幣)的經濟損失。
前不久,關於這一程式碼洩露事件也得到了判決:
有期徒刑六個月,並處罰金 20 萬人民幣(約 100 萬台幣)。
最近,B 站(中國影音串流網站 Bilibili)的原始碼也被人公開到 GitHub,雖然很快被封禁,B 站也已經報警處理,但有不少網友早複製了資料庫,隱患已經埋下,補救起來也頗為頭疼。
如果駭客公開了這次獲取的所有程式碼,對其中一些小團隊來說可能就是滅頂的打擊了。
(本文經 AI 新媒體 量子位 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈GitHub 遭攻击!黑客给出十天限期:不交比特币赎金,就公开用户私有代码 〉,首圖來源:Pxhere, CC Licensed。)
你可能感興趣
Python 早就落伍了!AI 權威 LeCun 直言:深度學習需要更靈活的程式語言
顛覆熱力學第二定律!物理學家用 IBM 量子電腦讓「時間倒回」了
最新「數據科學」自學清單:六個月無師自通,菜鳥新手趕快存起來
