5月初，來(lái)自GitHub，GitLab和Bitbucket的Git代碼托管平臺(tái)的幾個(gè)用戶(hù)被黑客攻擊并被洗劫一空。現(xiàn)在，這三家服務(wù)提供商聯(lián)合發(fā)布了一份聲明，聲明所有平臺(tái)都是Uninvaded，用戶(hù)因?yàn)闊o(wú)意中泄露了憑據(jù)而被勒索，因此他們還在此聲明中解釋了用戶(hù)管理帳戶(hù)的最佳安全實(shí)踐。

GitHub，GitLab和Bitbucke已經(jīng)通知并幫助受影響的用戶(hù)恢復(fù)他們的代碼庫(kù)，并就Git社區(qū)的生態(tài)系統(tǒng)安全事件進(jìn)行協(xié)作。當(dāng)他們收到用戶(hù)的回復(fù)時(shí)，他們立即展開(kāi)調(diào)查，發(fā)現(xiàn)所有勒索軟件用戶(hù)帳戶(hù)都是使用合法憑據(jù)訪問(wèn)的，包括密碼，應(yīng)用程序密碼，API密鑰和個(gè)人訪問(wèn)令牌。在獲得憑證之后，客戶(hù)然后懷疑使用自動(dòng)方法執(zhí)行Git命令以非常快的速度訪問(wèn)這些帳戶(hù)，并用贖金支付信息覆蓋原始存儲(chǔ)庫(kù)的內(nèi)容，并最終遠(yuǎn)程刪除提交的歷史記錄。

這些Git服務(wù)提供商會(huì)立即暫停這些用戶(hù)活動(dòng)，撤消或重置憑據(jù)以防止進(jìn)一步的惡意行為。在調(diào)查期間，他們發(fā)現(xiàn)有第三方代金券傾銷(xiāo)托管服務(wù)提供商，泄露了三分之一的受影響帳戶(hù)憑據(jù)。另一個(gè)敏感數(shù)據(jù)憑證泄漏是由于公共Web服務(wù)器或存儲(chǔ)庫(kù)公開(kāi).git/config。該聲明提到這不是一個(gè)新問(wèn)題。用戶(hù)不應(yīng)該在公共存儲(chǔ)庫(kù)或網(wǎng)頁(yè)中。在服務(wù)器上，使用包含令牌的.git/config文件公布憑據(jù)。

聲明建議用戶(hù)啟用多重身份驗(yàn)證以保護(hù)其帳戶(hù)，并為每個(gè)服務(wù)設(shè)置強(qiáng)大且唯一的密碼，以防止其他用戶(hù)在第三方泄露敏感信息時(shí)受到影響。該聲明還提到，在組織許可的情況下，用戶(hù)應(yīng)使用密碼管理工具。

此外，該聲明還警告?zhèn)€人訪問(wèn)令牌存在風(fēng)險(xiǎn)，因?yàn)橥ㄟ^(guò)Git或API使用個(gè)人訪問(wèn)令牌將繞過(guò)多因素身份驗(yàn)證過(guò)程，并且可能具有讀取和寫(xiě)入存儲(chǔ)，具體取決于令牌權(quán)限設(shè)置。應(yīng)將庫(kù)的功能視為密碼，否則可能存在安全風(fēng)險(xiǎn)。當(dāng)fun88用戶(hù)在克隆URL中輸入令牌時(shí)，Git會(huì)以明文形式將令牌寫(xiě)入.git/config文件，因此在暴露.git/config時(shí)可能會(huì)惡意使用它。該語(yǔ)句還提醒用戶(hù)，在使用API時(shí)，請(qǐng)記住將令牌用作環(huán)境變量，而不是將其寫(xiě)入代碼。

總結(jié)

以上是生活随笔為你收集整理的三个程序代码托管平台出现勒索事件? 建议启用多因素验证以保护账户的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。