尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
5月3日,當中國工程師正愉快地過五一節時,國外工程師突然發現自己GitHub上的代碼不翼而飛!自己的GitHub一秒變成懸疑片現場,不僅被黑客攻擊刪代碼了,囂張的黑客還留下一封勒索信:
這封信中表示,他們已經將源代碼下載並存儲到了自己的服務器上。
受害者要在10天之內,往特定帳戶支付0.1比特幣(約合人民幣3800元),否則他們將會公開代碼,或以其他的方式使用它們。
從這個威脅話語來看,受到攻擊的是GitHub上的私有庫。而且,不僅僅是GitHub,其他代碼托管網站GitLab、Bitbucket也受到了攻擊。
GitHub黑客攻擊勒索驚魂記
根據GitHub上的搜尋數據顯示,共計有373名用戶受到了攻擊,而根據GitLab公布的數據,黑客能夠訪問131個用戶和163個儲存庫。
據悉,遭到攻擊的儲存庫的代碼和提交信息,全部被名為「gitb ackup」的帳號刪除,許多受害者認為本次攻擊是由於Atlassian開發的Git GUI應用程序SourceTree有漏洞,被黑客利用了。
根據ZdNet報導,黑客可能是掃描互聯網上的Git配置,然後提取了其中的登錄憑證登錄Git庫,來完成的這波操作。
微軟又雙叒叕遭攻擊
就在GitHub被黑客攻擊勒索的同時,微軟也遭到了同樣的攻擊。微軟表示自家的開源開發平台昨天也被黑客攻擊,黑客擦除了其392個代碼儲存庫,要求微軟支付一定的款項才會歸還竊取的數百個源代碼。
目前,GitLab安全總監Kathy Wang發表聲明回應網路攻擊,他表示:「我們根據Stefan Gabos昨天提交的贖金票確定了信息來源,並立即開始調查該問題。我們已經確定了受影響的用戶帳戶,並通知到這些用戶。根據調查發現,我們有強有力的證據表明,被泄露的帳戶在部署相關存儲庫時,其帳戶密碼是以明文形式來存儲。我們強烈建議使用密碼管理工具以更安全的方式存儲密碼,並且有條件的話,啟用雙因素身份驗證,這兩種方法都可以避免此問題發生。」
幸運的是,根據StackExchange安全論壇的成員發現,黑客實際上並沒有刪除源碼,但是改變了Git的head,這意味著在某些情況下可以恢復代碼提交。
別急著交錢,試試這些招數
在推特上,開發者社區的大V建議受害者在支付贖金之前先聯繫GitHub、GitLab或Bitbucket,因為他們可能有其他方法可以幫助你恢復已刪除的代碼。
一位「遭殃」的開發者先使用命令git reflog瞅了瞅,能看到他自己所有的提交,所以他猜測黑客很可能沒有克隆存儲庫。
接著他給出嘗試自救的步驟:
01,看到黑客的提交
02,看到自己的所有文件
03,將修復origin/master
04,但是查看代碼狀態時
會發現:
所以還得想別的辦法修復。
接著他還提到,如果你本地有代碼備份的話,直接用就能修復:
開發者應具備安全意識
弱密碼問題一直是黑客進行攻擊利用的有效且低成本手段,多年來,僵屍網路利用了安全性較差的連接設備的強大功能,在網站上擁有大量的互聯網流量,也就是所謂的分布式拒絕服務(DDoS)攻擊。
在互聯網時代,作為開發者我們該如何做呢?
1,在架構和研發過程中要配合安全團隊或綜合考慮信息安全管理要素;
2,在實際開發過程中要避開常見安全問題,如上傳 Github、SQL 注入、任意命令執行、緩沖區溢出、水平越權、日志敏感信息記錄、敏感文件任意存放等問題。
3,在數據泄露事件發生時,開發者應發揮自身的技術和業務優勢,積極配合安全團隊、法務團隊對事件溯源中所涉及到的業務場景和數據證據,提取固化提供支撐,在很多數據泄露事件溯源中開發者都是最有利的技術支撐,比如數據流程梳理、關鍵日志提取等。
4,開發者在配合過程中需要嚴格注意,避免破壞數據完整性。