14

Хакер стирает репозитории Git и просит выкуп  

Хакер угрожает выпустить код, если жертва не заплатит в течение 10 дней.

Сотни разработчиков стерли и заменили репозитории исходного кода Git требованием выкупа.

Атаки, начатые ранее сегодня, по-видимому, скоординированы через хостинг-сервисы Git (GitHub, Bitbucket, GitLab), и до сих пор неясно, как они происходят.

Известно, что хакер удаляет весь исходный код и последние коммиты из Git-репозиториев vitcims и оставляет за собой выкуп, требующий выплату 0,1 биткойна (~ 570 долларов).

Хакер утверждает, что весь исходный код был загружен и сохранен на одном из их серверов, и дает жертве десять дней, чтобы заплатить выкуп; в противном случае они сделают код открытым.

Чтобы восстановить утерянный код и избежать его утечки: отправьте нам 0,1 биткойна (BTC) на наш биткойн-адрес ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA и свяжитесь с нами по электронной почте [email protected], указав свой логин Git и подтверждение платежа. Если вы не уверены, что у нас есть ваши данные, свяжитесь с нами, и мы вышлем вам подтверждение. Ваш код загружается и резервируется на наших серверах. Если мы не получим ваш платеж в течение следующих 10 дней, мы сделаем ваш код общедоступным или используем его иначе.

Платеж запрашивается по адресу биткойнов ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA, который на момент написания статьи не получил никаких средств.

По данным BitcoinAbuse.com, веб-сайта, который отслеживает биткойн-адреса, используемые для подозрительной активности, сегодня было 27 сообщений о злоупотреблениях для этого адреса, когда он был впервые проиндексирован в базе данных сайта. Все сообщения о злоупотреблениях содержат одну и ту же записку с требованием выкупа, предполагающую, что адрес Биткойн используется в скоординированной атаке, направленной на учетные записи Git.

Поскольку облако и мобильная связь становятся точками конвергенции для корпоративных коммуникаций и совместной работы, корпоративные планировщики должны сосредоточиться на глобальной стратегии открытого облака, чтобы облегчить эффективные внутренние и внешние совместные рабочие процессы бизнеса.

Некоторые пользователи, ставшие жертвами этого хакера, признались, что использовали слабые пароли для своих учетных записей GitHub, GitLab и Bitbucket, и забыли удалить маркеры доступа для старых приложений, которые они не использовали в течение нескольких месяцев, - и то, и другое - очень распространенный способ какие онлайн-аккаунты обычно скомпрометированы.

Однако все данные свидетельствуют о том, что хакер просканировал весь интернет на наличие файлов конфигурации Git, извлек учетные данные, а затем использовал эти логины для доступа и выкупа учетных записей в службах хостинга Git.

В электронном письме ZDNet Кэти Ванг, директор по безопасности GitLab, признала, что это было основной причиной компрометации учетной записи, о которой пользователь сообщил сегодня в StackExchange.

Мы определили источник, основываясь на заявке на поддержку, поданной вчера Стефаном Габосом, и сразу же начали расследование проблемы. Мы определили затронутые учетные записи пользователей, и все эти пользователи были уведомлены. В результате нашего исследования у нас есть убедительные доказательства того, что скомпрометированные учетные записи имеют пароли учетных записей, которые хранятся в виде открытого текста при развертывании соответствующего хранилища. Мы настоятельно рекомендуем использовать инструменты управления паролями для более надежного хранения паролей и, по возможности, разрешать двухфакторную аутентификацию, что позволило бы избежать этой проблемы.

Компания Atlassian, владеющая Bitbucket, не ответила на запрос о комментариях, но начала уведомлять клиентов, чьи учетные записи, по ее мнению, получили незаконный доступ, а также начала отправлять предупреждения безопасности учетным записям, в которых попытки входа в систему не дали результатов.

Хорошей новостью является то, что после изучения случая жертвы участники форума безопасности StackExchange обнаружили, что хакер фактически не удаляет, а просто изменяет заголовки коммитов Git, что означает, что коммиты кода могут быть восстановлены, в некоторых случаях.

В Твиттере несколько важных фигур в сообществе разработчиков в настоящее время призывают жертв связаться с группами поддержки в GitHub, GitLab или Bitbucket, прежде чем платить какие-либо требования о выкупе, поскольку могут быть другие способы восстановления удаленных репозиториев.

Частные Git-репозитории, скорее всего, также были скомпрометированы, что, без сомнения, приведет к длительным расследованиям в компаниях, у которых, возможно, их проприетарный код был потенциально отослан на удаленный сервер.