晓查 乾明 发自 凹非寺
量子位 报道 公众号 QbitAI
程序员的大本营被黑客攻击了!
就在五一假期的最后一天,一些程序员查看自己托管到 GitHub 上的代码时发现,他们的源代码和 Repo 都已消失不见,取而代之的是黑客留下的一封勒索信!
这封信中表示,他们已经将源代码下载并存储到了自己的服务器上。
受害者要在 10 天之内,往特定账户支付 0.1 比特币(约合人民币 3800 元),否则他们将会公开代码,或以其他的方式使用它们。
要找回你丢失的代码并避免代码泄漏:将 0.1 比特币(BTC)发送至我们的比特币地址 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并通过邮件与我们联系,提供您的 git 登录信息和付款证明。地址为 admin[at]gitsbackup[dot]com。
如果你不确定我们是否有你的数据,请联系我们,我们会给你发送证明。你的代码已经被下载并备份到我们的服务器上。
如果我们在接下来的 10 天内没有收到你的付款,我们将公开你的代码或以其他方式使用它们。
从这个威胁话语来看,受到攻击的是 GitHub 上的私有库。而且,不仅仅是 GitHub,其他代码托管网站 GitLab、Bitbucket 也受到了攻击。
突如其来的攻击
根据 GitHub 上的搜索数据显示,一共有 373 名用户受到了攻击。根据 GitLab 公布的数据,黑客至少可以访问所有 131 个用户和 163 个存储库。
这些受到攻击的储存库的代码和提交信息,全都被一个名为 “gitbackup” 的账号删除。
在各大社交媒体上,一些受害者将遭到攻击归咎于 Atlassian 开发的 Git GUI 应用程序 SourceTree,认为黑客利用了其中的漏洞。
但攻击波及的范围涵盖多个平台,The Register 报道称,这次攻击很可能是针对无意识的安全性较差的存储库,而不是特定的漏洞。
根据 ZdNet 报道,黑客可能是扫描互联网上的 Git 配置,然后提取了其中的登录凭证登录 Git 库,来完成的这波操作。
截止到发稿时间,还没有人向攻击者的比特币账户支付赎金。取而代之的是,这一比特币地址遭到了不少举报。
根据 Bitcoin Abuse 数据库显示,已经有 31 人举报了这一比特币地址,表示对方是一个黑客,希望删除地址。
ZdNet 记者 Catalin Cimpanu 表示,攻击现在已经停止,并没有新的账户被攻击的情况出现。
遭到攻击不要慌
根据 GitLab 的官方声明,这次黑客攻击事件最大的问题在用户:
“我们有充分证据表明,受影响帐户的密码以明文形式存储在相关代码库的部署中。”
因此提高安全意识才是保护自己代码的最好方法,GitLab 建议用以下方法防止密码被黑客盗取:
1、使用强密码,降低被黑客破解的风险;
2、用密码管理工具存储密码,不要使用明文;
3、开启双因素身份验证,并使用 SSH 密钥提高。
如果你已经不幸中招,也不要急着交赎金,因为即使交钱也无法保证代码不会被黑客公开。
至于已经被删除的代码,一位早期受害者在 StackExchange 论坛指出,代码其实还在,是可以恢复出来的,只是 HEAD 被黑客修改了而已。
他还给出了一系列补救办法,被 GitLab 官方推荐。
输入以下代码:
能看到黑客的提交记录,并修复 origin/master。但是问题还没有完全解决,如果输入git status,还是会显示:
如果你在本地备份了代码,那就好办了,直接把本地代码强制 push 上去:
如果你在本地没有备份,仍然可以从远程库克隆,用git reflog或者git fsck可以找到最后一次提交并更改 HEAD。
接下来唯一需要担心的可能就是黑客是否会公布你的私有代码了。
代码被公开之痛
关于代码被公开,国内一些公司也有切肤之痛。
比如大疆,其一名前员工,将含有公司商业机密的代码上传到了 GitHub 的公有仓库中,造成源代码泄露。
根据这些源代码,攻击者可以 SSL 证书私钥,访问客户的敏感信息,比如用户信息、飞行日志等等。
根据评估,这次泄漏代码一共给大疆造成了 116.4 万的经济损失。
前不久,关于这一代码泄露事件也得到了判决:
有期徒刑六个月,并处罚金 20 万。
最近,B站的源代码也被人公开到 GitHub,虽然很快被封禁,B站也已经报警处理,但有不少网友克隆了代码库,隐患已经埋下,补救起来也颇为头疼。
如果黑客公开了这次获取的所有代码,对其中一些小团队来说可能就是灭顶的打击了。