GitHub en GitLab slaan alarm over gegijzelde softwareprojecten
Verschillende platformen die softwareontwikkelaars gebruiken voor hun projecten hebben alarm geslagen nadat de accounts van gebruikers zijn overgenomen en hun code gegijzeld. Het gaat om Atlassian Bitbucket, GitHub en GitLab.
Aanvallers weten op de accounts van gebruikers van deze platformen in te loggen en verwijderen vervolgens aanwezige code. In een achtergelaten bericht stellen de aanvallers dat slachtoffers door het betalen van 650 euro hun code kunnen terugkrijgen. Eerder deze maand maakte GitLab bekend dat aanvallers tenminste 131 gebruikersaccounts en 163 repositories hadden benaderd.
Het probleem speelt ook bij andere platformen. GitLab stelde dat de accounts door onveilig wachtwoordgedrag konden worden overgenomen. In een update bevestigen de drie platformen dat. Accounts worden gekaapt via legitieme inloggegevens, waaronder wachtwoorden, app-wachtwoorden, API-keys en persoonlijke toegangstokens. Vervolgens wordt de inhoud van de repositories overschreven en eerdere versies van gecommitte code verwijderd.
Alle drie de platformen hebben getroffen gebruikers gewaarschuwd en hun accounts tijdelijk geblokkeerd om verder misbruik te voorkomen. Tijdens het onderzoek naar de aanvallen werd er een dump van inloggegevens ontdekt. Een derde van alle gecompromitteerde accounts was via deze inloggegevens overgenomen. Daarop hebben de drie platformen alle inloggegevens in de dump voor hun eigen gebruikers ongeldig gemaakt.
Gebruikers van Bitbucket, GitHub en GitLab krijgen het advies om sterke wachtwoorden te gebruiken, waarbij het gebruik van een wachtwoordmanager wordt aangeraden. Ook worden gebruikers gewezen op het risico van persoonlijke toegangstokens. Daarmee kan namelijk multifactorauthenticatie worden omzeild. Tevens wordt aangeraden om git-directories en configuratiebestanden niet voor het internet toegankelijk te maken.
snap niet dat dit een probleem is om eerlijk te zijn...
Bij svn heb je alleen een locale kopie van de laatste versie. Bij Git wel van alle versies. Maar als je een pull doet en op de repro staat een instructie om ook oude versies definitief te verwijderen, dan zijn ze ook lokaal weg.
Maar daarom maak je ook zelf nog een backup. In elk geval lopen bij mij de projecten mee met de reguliere backup van mijn pc's. Ik laat ze echt niet weg uit de backup omdat ze ook in de cloud staan.
Zeer droevig... vrezelijk zulke mensen die deze vorm van criminaliteit toepassen.
De mens lijdt het meest onder het lijden dat hij vreest...
nooit wat er bij zo'n clouddienst gebeurt. Die kan gehacked en gewist worden, overgenomen door Microsoft, failliet
gaan, een langdurige storing hebben, of ineens vinden dat jij een ongewenste gebruiker bent die geblokkeerd moet
worden. Daar ga je je toch niet van afhankelijk maken?
Het is leuk voor erbij maar niet als primaire opslag.
snap niet dat dit een probleem is om eerlijk te zijn...
Het probleem zou ook niet zo zeer zijn dat je je code kwijt bent, maar dat anderen deze nu ook hebben. Een aantal van die repositories zijn private en die dreigen 'ze' nu openbaar te maken. En dat kan best jammer zijn als je bezig bent met je startup...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
