作者|伍杏玲
出品|CSDN
5月3日,当中国程序员正愉快地过五一节时,国外程序员突然发现自己GitHub上的代码不翼而飞!自己的GitHub一秒变成悬疑片现场,不仅被黑客攻击删代码了,嚣张的黑客还留下一封勒索信:
如果你要恢复丢失的代码和避免我们泄漏代码:需要先支付0.1个比特币到这个地址:1ES14C7QLB5cyhlmuektxlgc1f2v2ti9da,再将Git登录名和支付证明发送到这个邮箱里。
如果你不相信我们是否真的有你的数据,我们可以向你发送证据。你的代码我们已下载并备份到服务器上。
如果我们在10天内没有收到钱,我们将公开你的代码或乱使用它们。
不仅是GitHub被黑客攻击,据ZDNet报道,还有Bitbucket、GitLab也遭受同样的攻击。
这究竟是发生了什么事呢?
黑客攻击勒索的惊魂记
一程序员在Reddit发帖讲述其遭遇黑客攻击被勒索的过程:当他修复一个Bug正要用SourceTree提交,当点击提交按钮时,电脑死机了。因为他的电脑经常会死机,所以他一开始没有察觉到异常。可当他重启动电脑后,SourceTree崩溃了,并提示重新安装。重新安装后,他又发现一个问题:Git索引文件损坏了!于是他在网上找了个简单的命令来修复程序。他先是删除了索引,然后点击重置。
Copper去年曾收到GitHub存储库安全警报,无客户受损:2月2日消息,英国加密资产托管公司Copper在去年圣诞节期间收到涉及该公司GitHub存储库安全问题的警报,该存储库含有如何保护客户资产的蓝图。Copper表示没有客户受到损害,该事件不属于适用法律或法规要求披露的性质,运营继续顺利进行,没有引起公司的进一步关注。
金色财经此前报道,1月26日,据《金融时报》报道,英国前财政大臣PhilipHammond宣布将加入加密资产托管公司Copper担任主席,并即将完成新一轮估值约20亿美元的融资。[2023/2/2 11:42:33]
然后他发现他落后了超3200个Commits!这时他这才停下来看看自己最近提交的内容,代码全没了!整个项目仅剩下一个上述勒索信的文件!他还看了下Bitbucket,所有的远程分支都不见了!
这不仅是个别用户,截至发稿,在GitHub搜索比特币地址,还有326个被黑的项目。
又是DDoS攻击?
这不是第一次GitHub遭遇黑客攻击了:
Galaxy Digital创始人:比特币或将在5年后达到50万美元:3月16日,Galaxy Digital 创始人 Mike Novogratz 在作客 Bloomberg 电视台节目时分享了其对于比特币未来 5 年的预期:如果比特币 5 年后没有到 50 万美元,那我对这件事的判断就是错的。我们看到比特币正在被越来越多的机构接纳,去年比特币和加密货币增长速度比以往要快得多,比 90 年代互联网发展最好的时候增长得还快。并且这种趋势还在不断扩张,在中东,或者是在美国的养老基金也准备参与其中。[2022/3/16 14:00:00]
2018年2月28日,GitHub遭到峰值攻击流量高达1.35Tbps的DDoS攻击,导致官网在一小段时间内无法访问。
2015年3月28日,GitHub经历了史上最大规模的DDoS攻击,连续两天使用“一种复杂的新技术来劫持无关用户的浏览器对我们的网站发起大量流量”。
难道这次又双叒叕是黑客DDoS攻击?
不,这次竟是程序员缺乏基本的安全意识造成的:明文存储密码。
比特币矿企MarathonDigital发布Q4财报:产出1098BTC,收入环比增长17%:金色财经报道,北美比特币矿企Marathon Digital (MARA)报告第四季度收入为6030万美元,比上一季度增长17%,但略低于分析师平均预期的6090万美元。调整后的每股收益为0.36美元,略高于分析师预期的 0.35 美元。\u2028该矿商在第四季度生产了 1098 个比特币,比上一季度产生的 1252 个比特币下降了约 12%,但比去年同期增长了约600%?。
该公司表示,截至2月28日,Marathon 持有约 8956 个比特币,以 43193 美元的价格计算,价值约3.868亿美元。该矿商在2021年创造了1.505亿美元的收入,远高于2020年的 440 万美元。[2022/3/2 13:31:24]
据GitLab安全总监KathyWang回应道,“我们根据StefanGabos昨天提交的赎金票确定了信息来源,并立即开始调查该问题。我们已经确定了受影响的用户帐户,并通知到这些用户。根据调查发现,我们有强有力的证据表明,被泄露的帐户在部署相关存储库时,其帐户密码是以明文形式来存储。我们强烈建议使用密码管理工具以更安全的方式存储密码,并且有条件的话,启用双因素身份验证,这两种方法都可以避免此问题发生。”
Marathon Digital将与Compute North的托管协议扩展到超10万比特币矿机:金色财经报道,根据周三的一份声明,Compute North和Marathon Digital将其托管协议扩展到全美超过10万台比特币矿机。这些装置将主要由风能和太阳能供电。两家公司此前在5月份的协议中托管了73,000台矿机。Marathon首席执行官Fred Thiel表示,该协议将使Marathon的挖矿业务“成为北美最大的挖矿业务”,还将成为最高效、最环保的挖矿业务之一。[2021/12/2 12:44:56]
幸运的是,根据StackExchange安全论坛的成员发现,黑客实际上并没有删除源码,但是改变了Git的head,这意味着在某些情况下可以恢复代码提交。
众多程序员对黑客的行为表示不满,齐齐去黑客留下的比特币收货地址举报,目前该地址已收到34个举报:
先别给钱,有免费救命妙招
那么面对被黑客“端了老窝”的程序员,只能双手奉上赎金吗?
声音 | Galaxy Digital CEO:未来消费者只会认为持有比特币是合乎逻辑的:据ethereumworldnews援引CNN消息,Galaxy Digital首席执行官Mike Novogratz在接受采访时表示,在未来,随着数字世界的扩展到新的高度,由千禧一代和Z一代组成的未来普通消费者只会认为持有比特币而不是传统黄金是合乎逻辑的。此外,尽管CNN主持人提到了加密货币滥用的话题,但Novogratz解释说,目前正在建立解决方案,以机构支持的解决方案的形式来减轻这种风险,比如高盛提出的托管服务。[2018/9/27]
不,在推特上,开发者社区的大V建议受害者在支付赎金之前先联系GitHub、GitLab或Bitbucket,因为他们可能有其他方法可以帮助你恢复已删除的代码。
一位“遭殃”的开发者先使用命令gitreflog瞅了瞅,能看到他自己所有的提交,所以他猜测黑客很可能没有克隆存储库。
接着他给出尝试自救的步骤:
1.看到黑客的提交:
gitcheckoutorigin/master
2.看到自己的所有文件:
gitcheckoutmaster
3.将修复origin/master:
gitcheckoutorigin/mastergitreflog#taketheSHAofthelastcommitofyoursgitreset
4.但是查看代码状态时:
gitstatus
会发现:
HEADdetachedfromorigin/master
所以还得想别的办法修复。
接着他还提到,如果你本地有代码备份的话,直接用就能修复:
gitpushoriginHEAD:master--force
因弱密码被“祭天”的程序员
据调查,仅在2018年的500多万个泄漏密码显示,有近3%的人使用“123456”作为密码。
加入我们程序员在企业项目开发里,使用这种弱密码会有什么危害呢?
2018年8月,华住酒店集团数据库采用简单的账户名和密码:root/123456,含达五亿条用户的详细信息的数据库遭到泄露。
在互联网时代,作为开发者尤为具备安全开始的意识。在日常开发中,我们该如何做呢?
可以参照5天6亿3000万数据泄露一文的方案:
在架构和研发过程中要配合安全团队或综合考虑信息安全管理要素;
在实际开发过程中要避开常见安全问题,如上传Github、SQL注入、任意命令执行、缓冲区溢出、水平越权、日志敏感信息记录、敏感文件任意存放等问题。
在数据泄露事件发生时,开发者应发挥自身的技术和业务优势,积极配合安全团队、法务团队对事件溯源中所涉及到的业务场景和数据证据,提取固化提供支撑,在很多数据泄露事件溯源中开发者都是最有利的技术支撑,比如数据流程梳理、关键日志提取等。
开发者在配合过程中需要严格注意,避免破坏数据完整性。
再见,123456!
参考:
https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/
https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-repo-wiped
作为码一代,想教码二代却无从下手:
听说少儿编程很火,可它有哪些好处呢?
孩子多大开始学习比较好呢?又该如何学习呢?
最新的编程教育政策又有哪些呢?
下面给大家介绍CSDN新成员:极客宝宝
戳他了解更多↓↓↓
热文推荐
?GitHub遭黑客攻击勒索;苹果夸大iPhone电池续航时间;全球第二大暗网被摧毁|极客头条
?Web组件即将取代前端框架?!|技术头条
?人工智能是6G诞生的关键!|极客头条
?天才程序员:25岁进贝尔实验室,32岁创建信息论
?华为员工年薪200万!真相让人心酸!
?太形象了!什么是边缘计算?最有趣的解释没有之一!
?安全顾问反水成黑客,靠瞎猜盗得5000万美元的以太币,一个区块链大盗的另类传奇
?人造器官新突破!美国科学家3D打印出会“呼吸”的肺|Science
?她说:为啥程序员都特想要机械键盘?这答案我服!
System.out.println("点个在看吧!");console.log("点个在看吧!");print("点个在看吧!");printf("点个在看吧!");cout<<"点个在看吧!"<<endl;Console.WriteLine("点个在看吧!");Response.Write("点个在看吧!");alert("点个在看吧!")echo"点个在看吧!"
点击阅读原文,输入关键词,即可搜索您想要的CSDN文章。
你点的每个“在看”,我都认真当成了喜欢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。