Cho đến nay, không chỉ riêng GitHub bị ảnh hưởng, ngay cả các dịch vụ tương tự như GitLab, Bitbucket cũng bị tấn công với hàng nghìn nạn nhân.
GitHub đang là nền tảng chia sẻ và lưu trữ code trực tuyến lớn nhất trên thế giới dành cho các lập trình viên và các nhà phát triển trên toàn cầu. Tuy nhiên, ngày 04.05 vừa qua, một cuộc tấn công nhắm vào kho lưu trữ này đã khiến hàng trăm nhà phát triển bị mất sạch kho lưu trữ code và commit của mình.
Không chỉ vậy, hacker còn để lại một lời nhắn đòi tiền chuộc cho các nạn nhân:
“Để khôi phục lại kho code của bạn và tránh bị rò rỉ nó: Gửi chúng tôi 0,1 Bitcoin (BTC – xấp xỉ 566 USD) vào ví Bitcoin địa chỉ: ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA và liên hệ với chúng tôi qua email admin@gitsbackup.com với tài khoản đăng nhập Git của bạn và bằng chứng của việc trả tiền (Proof of Payment). Nếu bạn không chắc chúng tôi đang có dữ liệu của bạn, hãy liên hệ và chúng tôi sẽ gửi bạn bằng chứng. Kho code của bạn đã được tải xuống và sao lưu trên dịch vụ của chúng tôi. Nếu chúng tôi không nhận được khoản thanh toán trong 10 ngày tới, chúng tôi sẽ công khai kho code của bạn hoặc sử dụng chúng với mục đích khác.”
Không chỉ riêng GitHub bị ảnh hưởng, cuộc tấn công của hacker này còn nhắm đến các dịch vụ lưu trữ code trực tuyến tương tự như Bitbucket và GitLab.
Trong khi Microsoft, công ty sở hữu GitHub chưa bình luận gì thì một nghiên cứu trên GitHub cho biết, có ít nhất 392 tài khoản GitHub đã bị đòi tiền chuộc. Còn theo ước tính của Jeremy Galloway, nhà nghiên cứu bảo mật tại Atlassian, công ty sở hữu Bitbucket, số nạn nhân trên dịch vụ này lớn hơn nhiều, ít nhất khoảng hơn 1.000 tài khoản bị ảnh hưởng.
Trong khi một số nạn nhân của cuộc tấn công này thừa nhận rằng, họ đã sử dụng các mật khẩu yếu cho tài khoản GitHub, GitLab và Bitbucket của mình, cũng như quên xóa bỏ các token đăng nhập trên những ứng dụng cũ mà họ không sử dụng trong nhiều tháng nay – đây đều là những cách phổ biến khiến các tài khoản trực tuyến bị xâm phạm.
Tuy nhiên, mọi bằng chứng đều cho thấy rằng hacker đã quét toàn bộ internet để tìm kiếm các file config,
Giám đốc bảo mật của GitLab, Kathy Wang cho biết với PC Mag: “Chúng tôi có bằng chứng vững chắc cho thấy các tài khoản bị xâm phạm có mật khẩu được lưu ở dạng plaintext (dạng văn bản không mã hóa) trên kho chứa có liên quan. Chúng tôi khuyến khích sử dụng các công cụ quản lý mật khẩu để lưu trữ mật khẩu bảo mật hơn.”
Thật không may cho hacker, trong khi cuộc tấn công đã diễn ra hơn một ngày, tuy nhiên tính đến hơn 3h sáng ngày 4 tháng 5 theo giờ Việt Nam, ví Bitcoin tại địa chỉ trên mới chỉ nhận được một khoản thanh toán bằng Bitcoin trị giá 2,99 USD.
Còn may mắn hơn đã đến với các nhà phát triển khi các thành viên trên diễn đàn bảo mật StackExchange Security đã phát hiện ra rằng, hacker không thực sự xóa code của các nạn nhân, mà chỉ thay đổi phần header của commit, có nghĩa là các commit code có thể được khôi phục lại được.
Trên Twitter, hàng loạt các nhân vật nổi tiếng trong cộng đồng nhà phát triển đã lên tiếng kêu gọi các nạn nhân liên hệ với nhóm hỗ trợ của GitHub, GitLab và Bitbucket trước khi trả bất kỳ khoản tiền chuộc nào cho hacker, do sẽ có thể phục hồi lại được các tài khoản bị tấn công.
Tham khảo ZDNet, PCMag
Techtalk via genk