Des centaines de comptes sont concernés, comme le rapporte ZDNet.com. Plusieurs services d'hébergements sont touchés : Bitbucket, GitHub et GitLab. La manière d'accéder aux comptes reste floue, mais il semblerait pour le moment que le ou les pirates aient récupéré/deviné les identifiants et mots de passe des victimes.
Dans tous les cas, la méthode reste la même. Une fois le dépôt vidé, un message est laissé à l'intention des développeurs : « Pour récupérer votre code perdu et éviter toute fuite, envoyez-nous 0,1 bitcoin (BTC) sur notre adresse 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA et contactez-nous par email à [email protected] avec votre identifiant Git et une preuve de paiement ».
Il est également précisé qu'à défaut de paiement dans les 10 jours, le code sera rendu public ou « utilisé d'une autre manière ». Pour l'instant, aucun mouvement récent n'est visible sur ce compte.
À Motherboard, Jeremy Galloway, chercheur en sécurité chez Atlassian (qui possède Bitbucket), estime qu'il y aurait un millier de victimes, sans donner plus de détails. Bitbucket et GitLab indiquent n'avoir détecté aucune intrusion dans leurs systèmes.
Commentaires (9)
#1
Une personne indique comment récupérer son historique de commits :https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-re…
En gros le voleur juste réécrit l’histoire des commits, mais il y a un moyen de les récupérer.
#2
En effet il y a pas mal de moyen de retrouver son code …
Par contre ce qui serait bien plus intéressant serais de savoir comment il a réussi son coup. Si pas d’intrusion chez GitLab/GitHub, alors force brute sur les mots de passe faible ?
#3
A priori, il récupérerait le contenu du dossier .git par HTTP.
https://chat.stackexchange.com/transcript/message/50159637#50159637
https://en.internetwache.org/dont-publicly-expose-git-or-how-we-downloaded-your-websites-sourcecode-an-analysis-of-alexas-1m-28-07-2015/
#4
Ce n’est embêtant que pour les dépôt privés qui contiennent des choses à ne pas rendre publiques. Pour le reste, pas de problème si le hacker rend le truc public.
Quant à retrouver son code et son historique, vu qu’en git chaque copie locale contient tout l’historique, c’est facile de tout remettre en place.
Après, il reste à éviter de se re-faire hacker dans la foulée…
#5
Merci pour le second lien, très intéressant et ça m’a permis de voir que j’en avais oublié un sur le clone qui propulse mon instance TT RSS.
Corrigé :)
(deny dans apache + chmod restrictif)
#6
Possible que d’anciens employés mécontents (salarié viré, stagiaire déçu, etc) aient bossé dans des boites qui n’ont pas pris la peine de désactiver leurs accès git. De là à revendre leur accès à quelqu’un de malfaisant… j’imagine que des gens un peu inconscients sont prêts à le faire (y’a quelques semaines en passant devant une grosse SSII française, j’entends un p’tit jeune de ~20 ans qui marmonne qqchose comme “p’tain les *, ils auraient pas du me virer, je vais me venger, ils vont voir, ouais…”. Véridique ^^. J’avoue m’être vite éloigné de ce type, il donnait les chocottes).
#7
#8
Sachant que le dépôt est cloné sur chaque machine c’est complètement inutile.