GitHub惨遭攻击！黑客给出十天限期：不交赎金就公开代码

就在五一假期的最后一天，GitHub 被攻击了！攻击于5月3日开始，包括 GitHub、Bitbucket 和 GitLab 在内的代码托管平台都受到了影响。

已经有很多程序员发现他们的源代码和 Repo 消失不见，取而代之的是黑客留下的一封勒索信！

黑客声称全部源码都已经下载并存储在他们的一台服务器上，而且给受害者十天时间支付赎金，不然，他们会公开代码：

要找回你丢失的代码并避免代码泄漏：将0.1比特币(BTC)发送至咱们的比特币地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并经过邮件与咱们联系，提供您的git登陆信息和付款证实。地址为admin[at]gitsbackup[dot]com。

若是你不肯定咱们是否有你的数据，请联系咱们，咱们会给你发送证实。你的代码已经被下载并备份到咱们的服务器上。

若是咱们在接下来的10天内没有收到你的付款，咱们将公开你的代码或以其余方式使用它们

因而可知，被黑客攻击的为私有库才对，在 GitHub 上搜索可发现已有 391 个仓库受影响，这些仓库的代码和提交信息均被一个名为 “gitbackup” 的帐号删除。

根据Bitcoin Abuse数据库显示，已经有35人举报了这一比特币地址，

目前，黑客的比特币钱包只收到了比特币2.99美圆左右的一笔付款。

GitLab回应

GitLab 的安全总监 Kathy Wang 告诉 BleepingComputer：们根据 Stefan Gabos 昨天提交的赎金票据肯定了消息来源，并当即展开调查。咱们已通知受影响的GitLab用户，并尽快解决此问题。

根据调查结果，咱们有充分证据代表，受损账户的账户密码以明文形式存储在相关存储库的部署中。咱们强烈建议使用密码管理工具以更安全的方式存储密码，并尽量启用双因素身份验证，这两种方法均可以防止出现此问题。

受影响用户怎么办？

这些漏洞彷佛依赖于攻击者了解受影响用户的密码，GitLab强烈建议使用强密码和惟一密码（使用好的密码管理器帮助管理密码），启用双因素身份验证，并使用SSH密钥来强化GitLab账户。

此外，GitLab认为暂时尚未数据丢失，除非存储库的全部者/维护者没有本地副本而且GitLab副本是惟一的。建议使用git命令将存储库还原到之前的状态。若是你的计算机上有完整的副本，则可使用如下命令强制推送到本地副本的当前HEAD：

gitpushoriginHEAD:master--force

此外你还能够经过git reflog 或 git fsck 找到你的最后一次提交并更改 HEAD

目前该问题还在解决当中。

来源： 开源最前线

欢迎关注个人公众号：【编程资源库】 ，关注后回复“我来自互联网”便可领取2000G视频教程