6.05.20193 min

Michael LitwinContent Writer

Masz 10 dni, by zapłacić okup! Hakerzy porywają kod z GitHuba

Hakerzy włamali się na konta użytkowników repozytoriów kodu i żądali nawet pół tysiąca dolarów. Na szczęście atak okazał się fiaskiem.

Masz 10 dni, by zapłacić okup! Hakerzy porywają kod z GitHuba

Tuż przed majówkowym weekendem, nawet 400 użytkowników, logując się do Githuba, mogło nie zastać swojego kodu. Zamiast tego, na ich repozytorium widniała dość nieprzyjemna wiadomość:

Aby odzyskać utracony kod i uniknąć jego wycieku: Wyślij nam 0.1 BTC na nasz adres i skontaktuj się z nami przez e-mail na admin@gitsbackup.com z Twoim loginem Git i dowodem wpłaty. Jeśli nie masz pewności, czy mamy Twoje dane, skontaktuj się z nami, a my prześlemy Ci dowód. Twój kod jest pobierany i archiwizowany na naszych serwerach. Jeśli nie otrzymamy płatności w ciągu najbliższych 10 dni, udostępnimy Twój kod jako publiczny lub wykorzystamy go w inny sposób.

Podobne wiadomości czekały na użytkowników innych usług hostingowych, takich jak GitLab lub Bitbucket. Hakerzy mieli całkowicie usuwać kod, przenosić na własne serwery i ostatecznie dać użytkownikom 10 dni na zebranie ponad pół tysiąca dolarów w Bitcoinach. Sposób, w jaki hakerzy włamywali się na konta, wciąż nie jest jasny, jednak z dostępnych informacji wynika, że atakujący włamywali się na konta zabezpieczone słabymi hasłami, lub odnajdywali hasła w zakątkach samych repozytoriów.

Na szczęście wszystkie dotknięte usługi hostingowe potraktowały sprawę poważnie. Github wydał oświadczenie w sobotę:

Dokładnie zbadaliśmy te przypadki, wraz z zespołami bezpieczeństwa innych firm, których dotyczy problem, i nie znaleźliśmy dowodów na to, że GitHub.com lub jego systemy uwierzytelniania zostały naruszone. W tej chwili wydaje się, że dane uwierzytelniające niektóre z naszych użytkowników zostały naruszone w wyniku nieznanych wycieków spowodowanych przez aplikacje trzecie. Obecnie współdziałamy z użytkownikami, aby zabezpieczyć i przywrócić ich konta.

Nie wiadomo, czy jakiekolwiek prywatne repozytoria kodu zostały dotknięte tym atakiem. Ale nie wydaje się, aby jakikolwiek kod został faktycznie usunięty.

W komunikacie bezpieczeństwa, wysłanym w piątek, Bitbucket oświadczył, że planuje przywrócić wszystkie dotknięte repozytoria kodu w ciągu 24 godzin, wskazując na to, że mają wewnętrzne zabezpieczenia przeciwko tego typu sytuacjom. Z kolei GitLab w swoim dochodzeniu wskazał, że przejęte konta miały swoje hasła zapisane czystym tekstem wewnątrz własnego lub powiązanego repozytorium.

Zespół bezpieczeństwa z Atlassian również zaangażował się w sytuację i bada sprawę. Według ich wewnętrznych informacji, na celowniku hakerów mogło się znaleźć nawet 1000 kont, choć wyszukiwanie samą prośbą okupu na Githubie zwraca ok. 400 wyników. Atlassian bada, w jaki sposób tak duża ilość haseł została złamana. Wszystko wskazuje jednak na to, że były one zabezpieczone bardzo słabymi hasłami.

Ostatecznie atak nie wygląda na udany. Duża ilość usuniętego przez nich kodu już i tak była publicznie dostępna, konta mogły być również stare i nieużywane, lub posiadać bezwartościowy kod. Nic nie wskazuje na to, by użytkownicy Githuba masowo kupowali Bitcoiny. Do dzisiaj nikt nie zapłacił wymaganej przez atakujących jednej dziesiątej Bitcoina, czyli prawie sześciuset dolarów. Historia transakcji na adres Bitcoin podany w wiadomości wskazuje na jedną jedyną transakcję o wysokości około trzech dolarów. Słaby utarg jak na “zmasowany skoordynowany atak”.

Żeby było zabawniej, niekompetencja hakerów na tym się nie kończy. Jedna z ofiar znalazła już sposób na samodzielne odzyskanie kodu. Instrukcja jest dostępna tutaj.

Mimo że atak okazał się fiaskiem, warto wyciągnąć z tej historii wnioski. Gdzieś na świecie faktycznie siedzi ktoś i skrupulatnie przegląda stare repozytoria pod kątem zapisanych z boku haseł. Osobiście uważam, że to zadziwiające, choć nieco smutne, że ta metoda jest skuteczna. Warto wyczyścić swoje repo ze wszelkich wrażliwych informacji, tylko nie róbcie tego w ten sposób:

Zamiast tego polecam tę instrukcję jak usunąć wszelkie wrażliwe dane z repo. Polecam również ustawić podwójną weryfikację logowania i zainwestować w narzędzia do zarządzania hasłami.

<p>Loading...</p>

Powiązane artykuły

Dziel się wiedzą ze 160 tysiącami naszych czytelników

Zostań autorem Readme

Simple SA

Java Developer (Mid/Senior)

medium

7 000 - 15 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
JavaSpringSpring Boot

Asseco Poland S.A.

Administrator / Starszy Administrator Systemów IT

medium

Brak widełek

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 26.02.2022

Dobrze
PostgreSQLBash

Nokia

5G Automation Engineer, IODT

medium

Brak widełek

Umowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Divante

Senior Vue.js Developer

senior

15 300 - 23 500 PLN

Kontrakt B2BUmowa o pracę

Wrocław

Praca zdalna 100%

Ważna do 13.03.2022

Dobrze
JavaScriptTypeScriptVue.js

T-Mobile Polska S. A.

Frontend Developer

medium

Brak widełek

Kontrakt B2B

Warsaw

Ważna do 26.02.2022

Bardzo dobrze
ReactReduxNode.js

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert for Risk Applications

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
SQLMS Office
Początkująco
SAS / R / Python

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert with German for Risk Analytics

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
MS Office
Początkująco
SQL / VBA / PythonQlik Sense / Qlik View / Arcadia

Hitachi Energy

Quality Assurance Engineer

medium

8 000 - 14 000 PLN

Umowa o pracę

Krakow

Ważna do 26.02.2022

Dobrze
automation testing .NET CoreSelenium
Początkująco
MS SQL

Commerzbank - Centrum Technologii Cyfrowych w Polsce

Business Expert with German for Risk Applications

medium

Znamy widełki

Umowa o pracę

Łódź

Ważna do 26.02.2022

Dobrze
MS OfficeSQL
Początkująco
SAS / R / Python