Sytuacja kobiet w IT w 2024 roku
6.05.20193 min
Michael Litwin

Michael LitwinIT Content Writer

Masz 10 dni, by zapłacić okup! Hakerzy porywają kod z GitHuba

Hakerzy włamali się na konta użytkowników repozytoriów kodu i żądali nawet pół tysiąca dolarów. Na szczęście atak okazał się fiaskiem.

Masz 10 dni, by zapłacić okup! Hakerzy porywają kod z GitHuba

Tuż przed majówkowym weekendem, nawet 400 użytkowników, logując się do Githuba, mogło nie zastać swojego kodu. Zamiast tego, na ich repozytorium widniała dość nieprzyjemna wiadomość:

Aby odzyskać utracony kod i uniknąć jego wycieku: Wyślij nam 0.1 BTC na nasz adres i skontaktuj się z nami przez e-mail na [email protected] z Twoim loginem Git i dowodem wpłaty. Jeśli nie masz pewności, czy mamy Twoje dane, skontaktuj się z nami, a my prześlemy Ci dowód. Twój kod jest pobierany i archiwizowany na naszych serwerach. Jeśli nie otrzymamy płatności w ciągu najbliższych 10 dni, udostępnimy Twój kod jako publiczny lub wykorzystamy go w inny sposób.

Podobne wiadomości czekały na użytkowników innych usług hostingowych, takich jak GitLab lub Bitbucket. Hakerzy mieli całkowicie usuwać kod, przenosić na własne serwery i ostatecznie dać użytkownikom 10 dni na zebranie ponad pół tysiąca dolarów w Bitcoinach. Sposób, w jaki hakerzy włamywali się na konta, wciąż nie jest jasny, jednak z dostępnych informacji wynika, że atakujący włamywali się na konta zabezpieczone słabymi hasłami, lub odnajdywali hasła w zakątkach samych repozytoriów.

Na szczęście wszystkie dotknięte usługi hostingowe potraktowały sprawę poważnie. Github wydał oświadczenie w sobotę:

Dokładnie zbadaliśmy te przypadki, wraz z zespołami bezpieczeństwa innych firm, których dotyczy problem, i nie znaleźliśmy dowodów na to, że GitHub.com lub jego systemy uwierzytelniania zostały naruszone. W tej chwili wydaje się, że dane uwierzytelniające niektóre z naszych użytkowników zostały naruszone w wyniku nieznanych wycieków spowodowanych przez aplikacje trzecie. Obecnie współdziałamy z użytkownikami, aby zabezpieczyć i przywrócić ich konta.

Nie wiadomo, czy jakiekolwiek prywatne repozytoria kodu zostały dotknięte tym atakiem. Ale nie wydaje się, aby jakikolwiek kod został faktycznie usunięty.

W komunikacie bezpieczeństwa, wysłanym w piątek, Bitbucket oświadczył, że planuje przywrócić wszystkie dotknięte repozytoria kodu w ciągu 24 godzin, wskazując na to, że mają wewnętrzne zabezpieczenia przeciwko tego typu sytuacjom. Z kolei GitLab w swoim dochodzeniu wskazał, że przejęte konta miały swoje hasła zapisane czystym tekstem wewnątrz własnego lub powiązanego repozytorium.

Zespół bezpieczeństwa z Atlassian również zaangażował się w sytuację i bada sprawę. Według ich wewnętrznych informacji, na celowniku hakerów mogło się znaleźć nawet 1000 kont, choć wyszukiwanie samą prośbą okupu na Githubie zwraca ok. 400 wyników. Atlassian bada, w jaki sposób tak duża ilość haseł została złamana. Wszystko wskazuje jednak na to, że były one zabezpieczone bardzo słabymi hasłami.

Ostatecznie atak nie wygląda na udany. Duża ilość usuniętego przez nich kodu już i tak była publicznie dostępna, konta mogły być również stare i nieużywane, lub posiadać bezwartościowy kod. Nic nie wskazuje na to, by użytkownicy Githuba masowo kupowali Bitcoiny. Do dzisiaj nikt nie zapłacił wymaganej przez atakujących jednej dziesiątej Bitcoina, czyli prawie sześciuset dolarów. Historia transakcji na adres Bitcoin podany w wiadomości wskazuje na jedną jedyną transakcję o wysokości około trzech dolarów. Słaby utarg jak na “zmasowany skoordynowany atak”.

Żeby było zabawniej, niekompetencja hakerów na tym się nie kończy. Jedna z ofiar znalazła już sposób na samodzielne odzyskanie kodu. Instrukcja jest dostępna tutaj.

Mimo że atak okazał się fiaskiem, warto wyciągnąć z tej historii wnioski. Gdzieś na świecie faktycznie siedzi ktoś i skrupulatnie przegląda stare repozytoria pod kątem zapisanych z boku haseł. Osobiście uważam, że to zadziwiające, choć nieco smutne, że ta metoda jest skuteczna. Warto wyczyścić swoje repo ze wszelkich wrażliwych informacji, tylko nie róbcie tego w ten sposób:

Zamiast tego polecam tę instrukcję jak usunąć wszelkie wrażliwe dane z repo. Polecam również ustawić podwójną weryfikację logowania i zainwestować w narzędzia do zarządzania hasłami.

<p>Loading...</p>