На днях стало известно о том, что сотни разработчиков пострадали от действий неизвестного взломщика. Злоумышленник каким-то образом получил доступ к репозиториям пользователей хостинг-сервисов Git (GitHub, Bitbucker, GitLab), удалил хранящийся там код и теперь требует деньги за восстановление данных.
Пока что способ, который применялся злоумышленником для взлома репозиториев остается неизвестным. Вместо удаленных данных злоумышленник оставляет сообщение с требованием выплаты выкупа в размере 0,1 биткоина ($570 по текущему курсу). В сообщении говорится о том, что код сохранен и находится на подконтрольном взломщику сервере. Данные пострадавших разработчиков будут окончательно удалены в том случае, если выкуп не будет получен в течение 10 дней.
Насколько можно понять, пострадавшие уже начали выплачивать требуемую сумму. Ресурс BitcoinAbuse.com, занимающийся анализом определенных биткоин-адресов, за последние 24 часа для указанного злоумышленником биткоин-кошелька было зафиксировано несколько десятков транзакций.
Некоторые пользователи, пострадавшие в результате атаки, заявили, что их пароль к учетной записи был не слишком надежным. Кроме того, эти разработчики удаляли токены доступа для приложений, которые не использовались в течение длительного времени. Возможно, киберпреступник просканировал сеть с целью выявления файлов конфигурации Git. Данные файлов помогли злоумышленнику добиться поставленной цели.
Ситуацию уже успели прокомментировать представители GitLab. Директор по безопасности Кэти Ванг заявила, что расследование проблемы продолжается уже больше суток. Так, пользователей сервиса, которые пострадали в результате действий злоумышленника предупредили о проблеме. Ванг подтвердила слова пострадавших, рассказав о том, что они использовали недостаточно надежные пароли.
В качестве рекомендации пользователям предложили использовать менеджеры паролей, а также двухфакторную идентификацию, что помогает предотвратить возникновение подобных проблем в будущем.
GitHub блокирует некоторые учетные записи до выяснения обстоятельств. «GitHub заморозил мой аккаунт на время расследования, надеюсь, я смогу получить свою учетную запись обратно уже сегодня», — заявил один из пользователей сервиса.
Пострадавшие пользователи обсуждают происшествие здесь, а возможное решение предлагается на StackExchange.
Стоит отметить, что злоумышленник не удаляет весь код, как оказалось, он меняет заголовки Git-коммитов. Это означает возможность восстановления кода пострадавшими, правда, не в 100% случаев.
Автор: marks
