“別動(dòng)，再動(dòng)我開(kāi)槍了!”一個(gè)彪形漢子用槍指著宅宅的腦袋，這個(gè)搶劫犯是認(rèn)真的!宅宅雙腿軟成面條，豆大的汗珠滾滾而下，連求饒的力氣都沒(méi)了。

砰地一聲，一切都結(jié)束了......睜開(kāi)眼，槍口里的小旗迎風(fēng)飄揚(yáng)，上面五個(gè)大字鮮艷奪目——瞧你個(gè)損塞。

另一頭，是摘下頭套后笑到抽風(fēng)的宅宅同事......阿西~你被這樣一本正經(jīng)的鬧劇整過(guò)嗎?安全界，類(lèi)似不明真假的狀況時(shí)常出現(xiàn)。消息稱(chēng)，GitHub數(shù)百源代碼被竊取并被黑客用于勒索比特幣。

然而，這很可能只是出鬧劇，為啥這么說(shuō)?且看下文。

大佬被搶?zhuān)o錢(qián)放“人”

據(jù)cnBeta報(bào)道，此次Git倉(cāng)庫(kù)被黑客洗劫勒索的事件，微軟似乎也未能幸免。

微軟已確認(rèn)其開(kāi)源平臺(tái)昨天也被黑客威脅，并同樣被要求支付款項(xiàng)才能歸還被竊取的392個(gè)源碼，這些倉(cāng)庫(kù)的代碼和提交的信息均被一個(gè)名為 “gitbackup” 的賬號(hào)刪除。

從留言?xún)?nèi)容看，黑客已將受害者的Git倉(cāng)庫(kù)中所有源代碼和最近提交的Repo刪除，只留下了0.1 比特幣(約 ¥3850)的贖金票據(jù)。

票據(jù)中寫(xiě)道：“要想恢復(fù)已丟失的代碼，請(qǐng)將0.1 BTC發(fā)送到比特幣地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并將Git登錄信息和付款證明發(fā)送郵件至admin@gitsbackup.com。如不確定是否持有你的數(shù)據(jù)，可發(fā)送信息獲得驗(yàn)證。10天內(nèi)沒(méi)有收到付款，將公開(kāi)代碼或以其他方式使用。”

得知消息后，GitHub回應(yīng)：“目前，我們正在與受影響的用戶(hù)聯(lián)系，以保護(hù)和恢復(fù)他們的賬戶(hù)。”BitcoinAbuse 平臺(tái)顯示，該比特幣地址目前還未收到贖金。

GitHub建議用戶(hù)開(kāi)啟雙因素身份驗(yàn)證，為賬戶(hù)添加額外的安全層。

看似正經(jīng)，實(shí)則鬧劇?

從留言看，黑客刪除了存儲(chǔ)庫(kù)中的全部數(shù)據(jù)信息，不過(guò)，真是如此嗎?

1、代碼還在

GitLab安全總監(jiān)Kathy Wang發(fā)表聲明回應(yīng)：“我們已確定受影響的用戶(hù)帳戶(hù)，并已通知所有這些用戶(hù)。根據(jù)調(diào)查結(jié)果，我們有充分證據(jù)表明受損帳戶(hù)的帳戶(hù)密碼以明文形式存儲(chǔ)在相關(guān)存儲(chǔ)庫(kù)的部署中。”

也就是說(shuō)，Kathy Wang認(rèn)為黑客在票據(jù)中寫(xiě)到的已經(jīng)刪除存儲(chǔ)庫(kù)中全部數(shù)據(jù)信息的說(shuō)法或許并非屬實(shí)。不是全刪了嗎，這話又怎么說(shuō)?實(shí)際上，這是StackExchange安全論壇的成員針對(duì)此次事件進(jìn)行深入研究后得到的結(jié)論。

研究發(fā)現(xiàn)“通常來(lái)說(shuō)，‘git reflog’標(biāo)示會(huì)顯示提交的全部數(shù)據(jù)，也就是說(shuō)黑客很難克隆每一個(gè)存儲(chǔ)庫(kù)，讓他們?cè)谠创a中尋找敏感數(shù)據(jù)或公開(kāi)代碼的機(jī)會(huì)也很低。所以，這次威脅更像是隨機(jī)、本身由腳本生成。”

他們發(fā)現(xiàn)，黑客似乎并沒(méi)有向勒索票據(jù)中說(shuō)的完全刪除這些數(shù)據(jù)，而僅僅是改變了Git提交標(biāo)頭，也就是說(shuō)這些數(shù)據(jù)很可能在特定情況下得以恢復(fù)。

2、分析

為找到這些黑客，StackExchange研究人員做了一個(gè)釣魚(yú)實(shí)驗(yàn)：

首先，他們啟用了一些私人存儲(chǔ)庫(kù)，其中一部分修改成了容易破解的弱密碼，刪除了其一年多尚未使用的一個(gè)訪問(wèn)令牌，另一部分則不變。然后，研究人員向GitLab發(fā)送郵件，希望他們可以及時(shí)通知。

研究人員稱(chēng)，盡管我的弱密碼以“a”開(kāi)頭且只有“az”字符，黑客卻并沒(méi)有懷疑它是否是我們?yōu)榱?ldquo;釣魚(yú)”而專(zhuān)門(mén)設(shè)定了這一陷阱。實(shí)際上，研究發(fā)現(xiàn)黑客通過(guò)自動(dòng)檢查的方式查詢(xún)到了他們的賬戶(hù)，并且執(zhí)行了一系列的git命令。

“如果這是他們的方式，那么就意味著我們綁定的GitLab / GitHub郵件和密碼也可能已被泄露在賬戶(hù)列表中。而在這種情況發(fā)生的前一個(gè)小時(shí)內(nèi)，谷歌搜索并沒(méi)有表現(xiàn)出任何的異常反應(yīng)。”

另一處異常是：研究人員肯定在這之前沒(méi)有使用過(guò)訪問(wèn)令牌的地方和位置，但結(jié)果是計(jì)算機(jī)上自動(dòng)生成了這一切，因此他懷疑這正是問(wèn)題所在。此外，還有4名開(kāi)發(fā)人員也可以使用于實(shí)驗(yàn)的存儲(chǔ)庫(kù)，這意味著他們的帳戶(hù)也可能受到威脅。

再深入研究，整個(gè)過(guò)程似乎并沒(méi)有顯示出明顯的非法行為。“我用BitDefender掃描了我的計(jì)算機(jī)但找不到任何痕跡。我肯定自己的計(jì)算機(jī)沒(méi)有被惡意軟件/木馬所感染，所以造成這一切的不會(huì)是上述情況。”

研究人員提到：“該實(shí)驗(yàn)過(guò)程使用的是SourceTree，這讓我懷疑是不是我的SourceTree或者系統(tǒng)(Windows 10)存在某些漏洞。當(dāng)然，目前的一切都只是分析。”

目前，StackExchange正和GitLab獲取更多信息(如果有的話)以幫助其深入研究恢復(fù)方案。