“别动,再动我开枪了!”一个彪形汉子用枪指着宅宅的脑袋,这个抢劫犯是认真的!宅宅双腿软成面条,豆大的汗珠滚滚而下,连求饶的力气都没了。
砰地一声,一切都结束了......睁开眼,枪口里的小旗迎风飘扬,上面五个大字鲜艳夺目——瞧你个损塞。
另一头,是摘下头套后笑到抽风的宅宅同事......阿西~你被这样一本正经的闹剧整过吗?安全界,类似不明真假的状况时常出现。消息称,GitHub数百源代码被窃取并被黑客用于勒索比特币。
然而,这很可能只是出闹剧,为啥这么说?且看下文。
大佬被抢,给钱放“人”
据cnBeta报道,此次Git仓库被黑客洗劫勒索的事件,微软似乎也未能幸免。
微软已确认其开源平台昨天也被黑客威胁,并同样被要求支付款项才能归还被窃取的392个源码,这些仓库的代码和提交的信息均被一个名为 “gitbackup” 的账号删除。
从留言内容看,黑客已将受害者的Git仓库中所有源代码和最近提交的Repo删除,只留下了0.1 比特币(约 ¥3850)的赎金票据。
票据中写道:“要想恢复已丢失的代码,请将0.1 BTC发送到比特币地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并将Git登录信息和付款证明发送邮件至admin@gitsbackup.com。如不确定是否持有你的数据,可发送信息获得验证。10天内没有收到付款,将公开代码或以其他方式使用。”
得知消息后,GitHub回应:“目前,我们正在与受影响的用户联系,以保护和恢复他们的账户。”BitcoinAbuse 平台显示,该比特币地址目前还未收到赎金。
GitHub建议用户开启双因素身份验证,为账户添加额外的安全层。
看似正经,实则闹剧?
从留言看,黑客删除了存储库中的全部数据信息,不过,真是如此吗?
1、代码还在
GitLab安全总监Kathy Wang发表声明回应:“我们已确定受影响的用户帐户,并已通知所有这些用户。根据调查结果,我们有充分证据表明受损帐户的帐户密码以明文形式存储在相关存储库的部署中。”
也就是说,Kathy Wang认为黑客在票据中写到的已经删除存储库中全部数据信息的说法或许并非属实。不是全删了吗,这话又怎么说?实际上,这是StackExchange安全论坛的成员针对此次事件进行深入研究后得到的结论。
研究发现“通常来说,‘git reflog’标示会显示提交的全部数据,也就是说黑客很难克隆每一个存储库,让他们在源代码中寻找敏感数据或公开代码的机会也很低。所以,这次威胁更像是随机、本身由脚本生成。”
他们发现,黑客似乎并没有向勒索票据中说的完全删除这些数据,而仅仅是改变了Git提交标头,也就是说这些数据很可能在特定情况下得以恢复。
2、分析
为找到这些黑客,StackExchange研究人员做了一个钓鱼实验:
首先,他们启用了一些私人存储库,其中一部分修改成了容易破解的弱密码,删除了其一年多尚未使用的一个访问令牌,另一部分则不变。然后,研究人员向GitLab发送邮件,希望他们可以及时通知。
研究人员称,尽管我的弱密码以“a”开头且只有“az”字符,黑客却并没有怀疑它是否是我们为了“钓鱼”而专门设定了这一陷阱。实际上,研究发现黑客通过自动检查的方式查询到了他们的账户,并且执行了一系列的git命令。
“如果这是他们的方式,那么就意味着我们绑定的GitLab / GitHub邮件和密码也可能已被泄露在账户列表中。而在这种情况发生的前一个小时内,谷歌搜索并没有表现出任何的异常反应。”
另一处异常是:研究人员肯定在这之前没有使用过访问令牌的地方和位置,但结果是计算机上自动生成了这一切,因此他怀疑这正是问题所在。此外,还有4名开发人员也可以使用于实验的存储库,这意味着他们的帐户也可能受到威胁。
再深入研究,整个过程似乎并没有显示出明显的非法行为。“我用BitDefender扫描了我的计算机但找不到任何痕迹。我肯定自己的计算机没有被恶意软件/木马所感染,所以造成这一切的不会是上述情况。”
研究人员提到:“该实验过程使用的是SourceTree,这让我怀疑是不是我的SourceTree或者系统(Windows 10)存在某些漏洞。当然,目前的一切都只是分析。”
目前,StackExchange正和GitLab获取更多信息(如果有的话)以帮助其深入研究恢复方案。