五一假期的最后一天,一些程序员查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,取而代之的是黑客留下的一封勒索信!

没错,程序员的大本营被黑了!

据悉,黑客入侵了GitHub 392个代码存储库,删除了所有源代码和最近提交的内容,并留下了支持0.1比特币(约人民币3838元)的赎金票据。黑客声称所有源代码都已经下载并备份在他们的一台服务器上,如果十天内受害者未支付赎金,他们就将公开代码。

“要恢复丢失的代码且避免泄漏:将0.1比特币(BTC)发送到我们的比特币地址,请附上您的Git登录信息和付款证明,并通过电子邮件与我们联系。

如果您不确定我们是否有您的数据,请联系我们,我们会向您发送证明。您的代码已下载并备份到我们的服务器上。

如果我们在十天内未收到您的付款,我们将公开或以其他方式使用您的代码。”

从这个威胁话语来看,受到攻击的是GitHub上的私有库。而且,不仅仅是GitHub,其他代码托管网站GitLab、Bitbucket也受到了攻击。

根据GitHub上的搜索数据显示,一共有392名用户受到了攻击,这些受到攻击的储存库的代码和提交信息,全都被一个名为 “gitbackup” 的账号删除。对此,GitHub在一份声明中回应:“目前,我们正在与受影响的用户联系,以保护和恢复他们的帐户。”

关于代码被公开的事件最近可谓频频发生!4月22日,某站源码在 GitHub 突然被开源,虽然 GitHub 站方出面封掉了首个暴露的代码库,但后续还是有很多人继续主动在 GitHub 新建代码仓库公开传播某站后台源码。隐患已经埋下,补救起来也颇为头疼。

另外,2017年大疆网络安全出现的严重漏洞,能让攻击者获取到SSL证书的私钥,并允许他们访问存储在大疆服务器上的客户敏感信息,这使得大疆的所有旧密钥毫无用处。该漏洞是大疆的一名软件工程师所为,其主要负责编写农业无人机的管理平台和农机喷洒系统代码。他通过一个计算机指令,将含有公司农业无人机的管理平台和农机喷洒系统的两个模块的代码上传至GitHub网站的“公有仓库”,造成了源代码泄露。

根据评估,这次泄漏代码一共给大疆造成了116.4万的经济损失。一周前,关于这一代码泄露事件也得到了判决:综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。

不管怎么样,国内外发生的源代码泄漏事件都给不少公司和程序员敲了个警钟,即加强代码安全管理的重要性。