圖片來源@視覺中國

鈦媒體注：本文來自微信公眾號(hào)量子位（ID:QbitAI），作者為曉查、乾明，鈦媒體經(jīng)授權(quán)發(fā)布。

程序員的大本營被黑客攻擊了！

就在五一假期的最后一天，一些程序員查看自己托管到GitHub上的代碼時(shí)發(fā)現(xiàn)，他們的源代碼和Repo都已消失不見，取而代之的是黑客留下的一封勒索信！

這封信中表示，他們已經(jīng)將源代碼下載并存儲(chǔ)到了自己的服務(wù)器上。

受害者要在10天之內(nèi)，往特定賬戶支付0.1比特幣（約合人民幣3800元），否則他們將會(huì)公開代碼，或以其他的方式使用它們。

要找回你丟失的代碼并避免代碼泄漏：將0.1比特幣(BTC)發(fā)送至我們的比特幣地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并通過郵件與我們聯(lián)系，提供您的git登錄信息和付款證明。地址為admin[at]gitsbackup[dot]com。

如果你不確定我們是否有你的數(shù)據(jù)，請聯(lián)系我們，我們會(huì)給你發(fā)送證明。你的代碼已經(jīng)被下載并備份到我們的服務(wù)器上。

如果我們在接下來的10天內(nèi)沒有收到你的付款，我們將公開你的代碼或以其他方式使用它們。

從這個(gè)威脅話語來看，受到攻擊的是GitHub上的私有庫。而且，不僅僅是GitHub，其他代碼托管網(wǎng)站GitLab、Bitbucket也受到了攻擊。

突如其來的攻擊

根據(jù)GitHub上的搜索數(shù)據(jù)顯示，一共有373名用戶受到了攻擊。根據(jù)GitLab公布的數(shù)據(jù)，黑客至少可以訪問所有131個(gè)用戶和163個(gè)存儲(chǔ)庫。

這些受到攻擊的儲(chǔ)存庫的代碼和提交信息，全都被一個(gè)名為 “gitbackup” 的賬號(hào)刪除。

在各大社交媒體上，一些受害者將遭到攻擊歸咎于Atlassian開發(fā)的Git GUI應(yīng)用程序SourceTree，認(rèn)為黑客利用了其中的漏洞。

但攻擊波及的范圍涵蓋多個(gè)平臺(tái)，The Register報(bào)道稱，這次攻擊很可能是針對無意識(shí)的安全性較差的存儲(chǔ)庫，而不是特定的漏洞。

根據(jù)ZdNet報(bào)道，黑客可能是掃描互聯(lián)網(wǎng)上的Git配置，然后提取了其中的登錄憑證登錄Git庫，來完成的這波操作。

截止到發(fā)稿時(shí)間，還沒有人向攻擊者的比特幣賬戶支付贖金。取而代之的是，這一比特幣地址遭到了不少舉報(bào)。

根據(jù)Bitcoin Abuse數(shù)據(jù)庫顯示，已經(jīng)有31人舉報(bào)了這一比特幣地址，表示對方是一個(gè)黑客，希望刪除地址。

ZdNet記者Catalin Cimpanu表示，攻擊現(xiàn)在已經(jīng)停止，并沒有新的賬戶被攻擊的情況出現(xiàn)。

遭到攻擊不要慌

根據(jù)GitLab的官方聲明，這次黑客攻擊事件最大的問題在用戶：

“我們有充分證據(jù)表明，受影響帳戶的密碼以明文形式存儲(chǔ)在相關(guān)代碼庫的部署中。”

因此提高安全意識(shí)才是保護(hù)自己代碼的最好方法，GitLab建議用以下方法防止密碼被黑客盜取：

1、使用強(qiáng)密碼，降低被黑客破解的風(fēng)險(xiǎn)；

2、用密碼管理工具存儲(chǔ)密碼，不要使用明文；

3、開啟雙因素身份驗(yàn)證，并使用SSH密鑰提高。

如果你已經(jīng)不幸中招，也不要急著交贖金，因?yàn)榧词菇诲X也無法保證代碼不會(huì)被黑客公開。

至于已經(jīng)被刪除的代碼，一位早期受害者在StackExchange論壇指出，代碼其實(shí)還在，是可以恢復(fù)出來的，只是HEAD被黑客修改了而已。

他還給出了一系列補(bǔ)救辦法，被GitLab官方推薦。

輸入以下代碼：

git checkout origin/master
git reflog # take the SHA of the last commit of yours
git reset [SHA]


能看到黑客的提交記錄，并修復(fù)origin/master。但是問題還沒有完全解決，如果輸入git status，還是會(huì)顯示：

HEAD detached from origin/master

如果你在本地備份了代碼，那就好辦了，直接把本地代碼強(qiáng)制push上去：

git push origin HEAD:master --force

如果你在本地沒有備份，仍然可以從遠(yuǎn)程庫克隆，用git reflog或者git fsck可以找到最后一次提交并更改HEAD。

接下來唯一需要擔(dān)心的可能就是黑客是否會(huì)公布你的私有代碼了。

代碼被公開之痛

關(guān)于代碼被公開，國內(nèi)一些公司也有切膚之痛。

比如大疆，其一名前員工，將含有公司商業(yè)機(jī)密的代碼上傳到了GitHub的公有倉庫中，造成源代碼泄露。

根據(jù)這些源代碼，攻擊者可以SSL證書私鑰，訪問客戶的敏感信息，比如用戶信息、飛行日志等等。

根據(jù)評估，這次泄漏代碼一共給大疆造成了116.4萬的經(jīng)濟(jì)損失。

前不久，關(guān)于這一代碼泄露事件也得到了判決：

有期徒刑六個(gè)月，并處罰金20萬。

最近，B站的源代碼也被人公開到GitHub，雖然很快被封禁，B站也已經(jīng)報(bào)警處理，但有不少網(wǎng)友克隆了代碼庫，隱患已經(jīng)埋下，補(bǔ)救起來也頗為頭疼。

如果黑客公開了這次獲取的所有代碼，對其中一些小團(tuán)隊(duì)來說可能就是滅頂?shù)拇驌袅恕?/p>

更多精彩內(nèi)容，關(guān)注鈦媒體微信號(hào)（ID：taimeiti），或者下載鈦媒體App