知識星球(點選上方快速關註並設定為星標,一起學Python)
曉查 乾明 發自 凹非寺
量子位 報道 | 公眾號 QbitAI
程式員的大本營被駭客攻擊了!
就在五一假期的最後一天,一些程式員檢視自己託管到GitHub上的程式碼時發現,他們的原始碼和Repo都已消失不見,取而代之的是駭客留下的一封勒索信!
這封信中表示,他們已經將原始碼下載並儲存到了自己的伺服器上。
受害者要在10天之內,往特定賬戶支付0.1比特幣(約合人民幣3800元),否則他們將會公開程式碼,或以其他的方式使用它們。
要找回你丟失的程式碼並避免程式碼洩漏:將0.1比特幣(BTC)傳送至我們的比特幣地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,並透過郵件與我們聯絡,提供您的git登入資訊和付款證明。地址為admin[at]gitsbackup[dot]com。
如果你不確定我們是否有你的資料,請聯絡我們,我們會給你傳送證明。你的程式碼已經被下載並備份到我們的伺服器上。
如果我們在接下來的10天內沒有收到你的付款,我們將公開你的程式碼或以其他方式使用它們。
從這個威脅話語來看,受到攻擊的是GitHub上的私有庫。而且,不僅僅是GitHub,其他程式碼託管網站GitLab、Bitbucket也受到了攻擊。
突如其來的攻擊
根據GitHub上的搜尋資料顯示,一共有373名使用者受到了攻擊。根據GitLab公佈的資料,駭客至少可以訪問所有131個使用者和163個儲存庫。
這些受到攻擊的儲存庫的程式碼和提交資訊,全都被一個名為 “gitbackup” 的賬號刪除。
在各大社交媒體上,一些受害者將遭到攻擊歸咎於Atlassian開發的Git GUI應用程式SourceTree,認為駭客利用了其中的漏洞。
但攻擊波及的範圍涵蓋多個平臺,The Register報道稱,這次攻擊很可能是針對無意識的安全性較差的儲存庫,而不是特定的漏洞。
根據ZdNet報道,駭客可能是掃描網際網路上的Git配置,然後提取了其中的登入憑證登入Git庫,來完成的這波操作。
截止到發稿時間,還沒有人向攻擊者的比特幣賬戶支付贖金。取而代之的是,這一比特幣地址遭到了不少舉報。
根據Bitcoin Abuse資料庫顯示,已經有31人舉報了這一比特幣地址,表示對方是一個駭客,希望刪除地址。
ZdNet記者Catalin Cimpanu表示,攻擊現在已經停止,並沒有新的賬戶被攻擊的情況出現。
遭到攻擊不要慌
根據GitLab的官方宣告,這次駭客攻擊事件最大的問題在使用者:
“我們有充分證據表明,受影響帳戶的密碼以明文形式儲存在相關程式碼庫的部署中。”
因此提高安全意識才是保護自己程式碼的最好方法,GitLab建議用以下方法防止密碼被駭客盜取:
1、使用強密碼,降低被駭客破解的風險;
2、用密碼管理工具儲存密碼,不要使用明文;
3、開啟雙因素身份驗證,並使用SSH金鑰提高。
如果你已經不幸中招,也不要急著交贖金,因為即使交錢也無法保證程式碼不會被駭客公開。
至於已經被刪除的程式碼,一位早期受害者在StackExchange論壇指出,程式碼其實還在,是可以恢復出來的,只是HEAD被駭客修改了而已。
他還給出了一系列補救辦法,被GitLab官方推薦。
輸入以下程式碼:
git checkout origin/master
git reflog # take the SHA of the last commit of yours
git reset [SHA]
能看到駭客的提交記錄,並修複origin/master。但是問題還沒有完全解決,如果輸入git status,還是會顯示:
HEAD detached from origin/master如果你在本地備份了程式碼,那就好辦了,直接把原生代碼強制push上去:
git push origin HEAD:master --force如果你在本地沒有備份,仍然可以從遠端庫克隆,用git reflog或者git fsck可以找到最後一次提交並更改HEAD。
接下來唯一需要擔心的可能就是駭客是否會公佈你的私有程式碼了。
程式碼被公開之痛
關於程式碼被公開,國內一些公司也有切膚之痛。
比如大疆,其一名前員工,將含有公司商業機密的程式碼上傳到了GitHub的公有倉庫中,造成原始碼洩露。
根據這些原始碼,攻擊者可以SSL證書私鑰,訪問客戶的敏感資訊,比如使用者資訊、飛行日誌等等。
根據評估,這次洩漏程式碼一共給大疆造成了116.4萬的經濟損失。
前不久,關於這一程式碼洩露事件也得到了判決:
有期徒刑六個月,並處罰金20萬。
最近,B站的原始碼也被人公開到GitHub,雖然很快被封禁,B站也已經報警處理,但有不少網友克隆了程式碼庫,隱患已經埋下,補救起來也頗為頭疼。
如果駭客公開了這次獲取的所有程式碼,對其中一些小團隊來說可能就是滅頂的打擊了。
朋友會在“發現-看一看”看到你“在看”的內容