?

大量GitHub用户遭黑客勒索:不交比特币就公开私有代码

「大型程序员交友网站」也被人盯上了。这次主要针对GitHub用户的攻击大约于5月2日开始,目前已有几百个账户受到影响,黑客也将勒索范围伸向了Bitbucket和GitLab等类似代码托管网站。被攻击的似乎都是密码/安全强度较弱的账户。目前我们还不清楚在这场事件中有哪些有价值的内容被窃取。

大量GitHub用户遭黑客勒索:不交比特币就公开私有代码

在 GitHub 上托管代码,请保护好自己的账户。近日,一名黑客入侵了大量 GitHub 账户的行动引发了人们的关注,据称他实施的攻击已经删除了很多人们托管的代码库,并以此勒索赎金以恢复信息。

这一攻击很快被人们注意到,目前至少在 GitHub 上就已波及了至少 392 个不同的用户。「为了恢复你失去的信息并让它们免于泄露,请交给我们 0.1 比特币(BTC)给账户 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并发邮件给 admin@gitsbackup.com 告知你的 Git 账户和付款凭证。」勒索信中写道。

大量GitHub用户遭黑客勒索:不交比特币就公开私有代码

勒索信内容,黑客扬言 10 天不交比特币就曝光你的代码

除了 GitHub 之外,Bitbucket 和 GitLab 等类似服务也遭到了同样的攻击。几个平台官方目前均表示,黑客目前的攻击目标是那些密码简单,或者在不同平台上使用相同密码的用户。

「目前,我们发现一些用户的账户正因为未知第三方泄露而遭到侵害,」GitHub 在一份声明中表示。「我们正在与受影响的用户合作,以保护和恢复他们的帐户。」

大量GitHub用户遭黑客勒索:不交比特币就公开私有代码

目前在 GitHub 上可以看到,已有 392 人遭到勒索

BitBucket 拥有者,Atlassian 的一名安全研究员表示,目前至少已有 1000 名用户遭到了代码勒索,但尚不清楚是否有任何有价值的内容已被窃取。因为 GitHub 上有很多内容是公开并被鼓励传播的。而被攻击的私有代码也有可能并不是那么重要,甚至只是还未完成的内容。

虽然我们不知道代码库是否会被破坏,但它们还不能被黑客彻底删除。5 月 3 日,Bitbucket 网站表示他们计划在未来 24 小时内回滚受影响的代码库。也有用户称自己通过「访问黑客的 hash」找回了被删除的代码。

GitLab 安全负责人 Kathy Wang 对此则表示:「我们持有的证据表明被波及的账户其密码在其他相关内容库里是以明文形式存储的。我们强烈建议使用密码管理工具,并以更安全的方式存储密码。」

「我们仍然在调查这个问题,但目前已发现一些受影响的账户中,在不安全的部署应用地址里的硬编码凭据有了『更新版』脚本。」Kathy Wang 说道。如果黑客会像他所声称的一样采取行动,如不支付价值 566 美元的赎金,大量用户的代码就会被公开。但目前看来相关的比特币账户仍然没有金币入账。

GitHub:请提升你的密码强度

突然的攻击让 GitHub 如临大敌。5 月 4 日晚,GitHub 发出了最新官方声明:公司已经与受影响的团队,以及其他被攻击的网站共同进行了调查,并没有发现 GitHub 的登录验证系统被攻破。面对这次攻击,GitHub、Bitbucket 和 Gitlab 的官方建议都是相同的:请加强你的密码强度,并开启二次验证登录方式。

也有网友找到了恢复被删信息的方法。在 stackexchange.com 上,一名被攻击的 GitLab 网友通过尝试访问 hash 的方式试出黑客的「删除」代码实际上只是修改了 HEAD 中的内容。

他也给出了自己的「破解」方式,并得到了人们的点赞。

输入

git checkout origin/master 

你就可以看到黑客攻击的 commit;输入

git checkout master 

则可以看到所有的被删除文件;输入

git checkout origin/master 

git reflog # take the SHA of the last commit of yours 

git reset [SHA] 

可以帮助你恢复 origin/master

最后,如果你的本地还存有代码,输入

git push origin HEAD:master --force 

就可以恢复所有内容了。

参考内容:

https://motherboard.vice.com/en_us/article/vb9v33/github-bitbucket-repositories-ransomware

https://www.pcmag.com/news/368158/hacker-tries-to-ransom-github-code-repositories-for-bitcoin

https://mspoweruser.com/developers-at-microsofts-github-are-being-held-to-ransom/

【本文是51CTO专栏机构“机器之心”的原创译文,微信公众号“机器之心( id: almosthuman2014)”】

戳这里,看该作者更多好文

相关推荐
新闻聚焦
猜你喜欢
热门推荐
  • 微软AI面试题有多难?这里有一份样卷

      究竟什么样的AI人才能被微软这样的巨头聘用呢?今天,文摘君就淘来了几道微软AI 面试题,同时给出了最基本的解答......

    06-25????来源:澎湃新闻网

    分享
  • 全球最聪明的大脑怎么看AI?他们预测了

      2017年AI领域取得了诸多成果。2018年AI又将何去何从?以下是来自世界顶级研究人员和行业领军人物对2018年AI领域发展作......

    02-20????来源:虎嗅网

    分享
  • 2017JavaScript框架战报 - React分战场

      我们来看看与React有关的软件包的生态系统。当Facebook构建React时,就有许多来自开源社区的第三方软件包。为提供完......

    02-27????来源:湖北新闻网

    分享
  • 小白学数据:教你用Python实现简单监督学

      监督学习作为运用最广泛的机器学习方法,一直以来都是从数据挖掘信息的重要手段。即便是在无监督学习兴起的近......

    03-05????来源:今日头条

    分享
  • 现代编程语言Swift、Kotlin等十大有趣功能

      最近学习了一些现代编程语言,比如Reason,Swift,Kotlin和Dart。这些编程语言提供了许多新功能,本文主要分享了我认......

    04-29????来源:祁东新闻网

    分享
  • 领域场景分析的6W模型

      组成场景的要素常常被称之为6W模型,即描写场景的过程必须包含Who,What,Why,Where,When与hoW这六个要素。......

    04-30????来源:砍柴网

    分享
  • 开源应用服务器WildFly 12发新季度交付模式

      WildFly 12 Final版本现在已经可以下载了,WildFly是一款灵活的开源应用服务器,支持开发人员构建轻量级应用程序。支持......

    05-10????来源:青岛新闻网

    分享
  • 基于Spring Cloud的微服务落地

      微服务架构模式的核心在于如何识别服务的边界,设计出合理的微服务。但如果要将微服务架构运用到生产项目上,......

    06-04????来源:广西新闻网

    分享
  • 为什么阿里工程师纷纷在内网晒代码?

      前阵子,在阿里一个小黑屋里,5名对代码有着极致追求的工程师参与阿里代码领域最高荣誉“多隆奖”的最终角逐。......

    06-08????来源:四川新闻网

    分享
  • 超级大汇总!200多个最好的机器学习、

      我把这篇文章分为了四个部分:机器学习,自然语言处理,python和数学。在每个部分中我都列举了一些主题,但是因......

    09-25????来源:洛阳新闻网

    分享
返回列表
Ctrl+D?将本页面保存为书签,全面了解最新资讯,方便快捷。