据《个人电脑杂志》网站报道,GitHub正遭到一名黑客的入侵。据称,这名黑客先擦除代码资源库,然后向用户索要赎金,作为恢复数据的交换。这次黑客攻击率先由外媒ZDNet报道。目前已有至少392个不同的GitHub资源库遭到攻击。
黑客擦除数据后,留下一条勒索信息:“如果想要恢复丢失的数据并避免数据进一步泄露,你须向我们支付0.1比特币,并发送电子邮件,说明你的GitHub登录名和提供支付凭证。若你不确定我们是否持有你的数据,你可以联系我们,然后我们会向你提供证据。你的代码已被下载并备份到我们的服务器上。如果十天之内我们没有收到赎金,我们会公开你的代码或直接使用之。”
相似服务(如Bitbucket和GitLab等)的代码资源库也遭遇了该攻击。据不同的平台陈称,黑客的攻击对象为要么使用弱密码或在其他独立服务上不小心泄露了登录凭据的账号。
GitHub在一份声明中写道:“目前,我们部分用户的账户凭证似乎因未知的第三方风险而受到损害。我们正在努力与受影响的用户合作,以保护并恢复他们的账户。”
Atlassian旗下拥有Bitbucket服务平台。Atlassian的一名安全研究人员告诉Motherboard说,大约有1000名用户可能受到攻击。但目前尚不清楚是否有任何有价值的数据在这次攻击中被偷盗。比如,很多在GitHub上的代码资源库都是共享的。或者,受影响的资源库也可能是不太常用的资源库,或正在托管着规划不完善的项目。
私有代码资源库是否受到攻击目前也尚不清楚。但实际上,似乎没有任何代码被真正地删除。在周五发送的安全公告中,Bitbucket表示其计划在未来24小时内逐步恢复受影响的代码资源库。一名受害者也表示自己通过技术方法得以恢复被擦除的代码。
GitLab的安全主管凯西·王(Kathy Wang)说:“我们有充分证据表明,受影响账户的账户密码以明文形式存储在相关资源库的部署中。我们强烈建议用户使用密码管理工具,以更安全的方式,存储密码。”
“我们仍在调查这个问题,但我们在部署的应用中的一个不安全的位置上,发现了一些受影响资源库的硬编码凭证的‘更新’脚本,”凯西·王在邮件中补充说道。邮件中还指出,GitLab的用户亦可以恢复他们的代码资源库。
黑客在勒索信息中提道,受害者仅有10天的时间来支付0.1比特币(约合566美元),否则黑客将公开盗窃的代码或自己使用这些代码。但截至目前,黑客的比特币地址依旧基本为空。
作为对此次黑客攻击的回应,GitHub、Bitbucket和GitLab均建议用户为他们的账户激活双重验证功能,以提高账户安全。