三大Git托管平台联合发布用户遭勒索报告，皆为凭证遭窃所致

在五月初的时候，发生数个来自GitHub、GitLab及Bitbucket的Git程式码托管平台的用户，遭清空程式码储存库并勒索的事件，现在这三个服务业者联合发表声明，提到所有平台都未遭到入侵，用户是因为无意间泄漏凭证才导致被勒索，因此他们也在这个声明说明了用户管理账户的最佳安全实践。

GitHub、GitLab及Bitbucke已经通知并帮助受影响的用户恢复其程式码储存库，而且为了Git社群的生态系安全，也共同合作调查事件的原委。他们收到用户的回报后便立即展开调查，发现所有受到勒索的用户账号，都是遭使用合法凭证包括密码、应用程序密码、API金钥以及个人存取令牌（Token）进行存取，骇客在取得凭证后，接着疑似采取自动化的方法，用极快的速度执行Git命令存取这些账户，并以赎金支付资讯覆盖原本储存库的内容，最后删除远端提交的历史纪录。

这些Git服务供应商立即暂停了这些用户活动，撤销或重置凭证，以防止进一步恶意行为发生。在调查的过程中，他们发现有一个第三方凭证转储托管服务供应商，泄露了三分之一受影响的账户凭证。另外的敏感资料凭证泄漏，则是因为在公开的网页服务器或是储存库暴露了.git/config所致，声明提到，这并不是新出现的问题，用户不应该在公共储存库或网页服务器上，公开凭证与包含令牌的.git/config档案。

声明中建议用户启用多因素验证以保护账户，并且为每一个服务都设置强健且唯一的密码，避免当第三方泄漏敏感资料的时候，用户的其他服务也受到影响，声明中也提到，在组织许可的情况下，用户应该使用密码管理工具。

另外，声明也警告个人存取令牌有其风险，由于透过Git或是API使用个人存取令牌会绕过多因素验证程序，且依照令牌权限设定不同，可能具有读取和写入的储存库的能力，应该要被当作密码管理，否则使用上可能存在安全性风险。而且当使用者在Clone URL中输入令牌，则Git会以明文的方式将令牌写到.git/config档案中，因此当.git/config公开就可能会被恶意使用。声明也提醒用户，在使用API时，应切记将令牌作为环境变数方式，而不是写死到程式码里。