三大Git托管平台联合发布用户遭勒索报告,皆为凭证遭窃所致

发布于2019-05-16 14:50:47

导读: 在五月初的时候,发生数个来自GitHub、GitLab及Bitbucket的Git程式码托管平台的用户,遭清空程式码储存库并勒索的事件,现在这三个服务业者联合发
导读: GitHub、GitLab及Bitbucket合作调查用户遭勒索事件,发现用户凭证不是在第三方服务遭窃,就是因公开其包含令牌的.git/config档案所致

在五月初的时候,发生数个来自GitHub、GitLab及Bitbucket的Git程式码托管平台的用户,遭清空程式码储存库并勒索的事件,现在这三个服务业者联合发表声明,提到所有平台都未遭到入侵,用户是因为无意间泄漏凭证才导致被勒索,因此他们也在这个声明说明了用户管理账户的最佳安全实践。

GitHub、GitLab及Bitbucke已经通知并帮助受影响的用户恢复其程式码储存库,而且为了Git社群的生态系安全,也共同合作调查事件的原委。他们收到用户的回报后便立即展开调查,发现所有受到勒索的用户账号,都是遭使用合法凭证包括密码、应用程序密码、API金钥以及个人存取令牌(Token)进行存取,骇客在取得凭证后,接着疑似采取自动化的方法,用极快的速度执行Git命令存取这些账户,并以赎金支付资讯覆盖原本储存库的内容,最后删除远端提交的历史纪录。

这些Git服务供应商立即暂停了这些用户活动,撤销或重置凭证,以防止进一步恶意行为发生。在调查的过程中,他们发现有一个第三方凭证转储托管服务供应商,泄露了三分之一受影响的账户凭证。另外的敏感资料凭证泄漏,则是因为在公开的网页服务器或是储存库暴露了.git/config所致,声明提到,这并不是新出现的问题,用户不应该在公共储存库或网页服务器上,公开凭证与包含令牌的.git/config档案。

声明中建议用户启用多因素验证以保护账户,并且为每一个服务都设置强健且唯一的密码,避免当第三方泄漏敏感资料的时候,用户的其他服务也受到影响,声明中也提到,在组织许可的情况下,用户应该使用密码管理工具。

另外,声明也警告个人存取令牌有其风险,由于透过Git或是API使用个人存取令牌会绕过多因素验证程序,且依照令牌权限设定不同,可能具有读取和写入的储存库的能力,应该要被当作密码管理,否则使用上可能存在安全性风险。而且当使用者在Clone URL中输入令牌,则Git会以明文的方式将令牌写到.git/config档案中,因此当.git/config公开就可能会被恶意使用。声明也提醒用户,在使用API时,应切记将令牌作为环境变数方式,而不是写死到程式码里。