“別動，再動我開槍了!”一個彪形漢子用槍指著宅宅的腦袋，這個搶劫犯是認真的!宅宅雙腿軟成面條，豆大的汗珠滾滾而下，連求饒的力氣都沒了。

砰地一聲，一切都結束了......睜開眼，槍口里的小旗迎風飄揚，上面五個大字鮮艷奪目——瞧你個損塞。

另一頭，是摘下頭套后笑到抽風的宅宅同事......阿西~你被這樣一本正經的鬧劇整過嗎?安全界，類似不明真假的狀況時常出現。消息稱，GitHub數百源代碼被竊取并被黑客用于勒索比特幣。

然而，這很可能只是出鬧劇，為啥這么說?且看下文。

大佬被搶，給錢放“人”

據cnBeta報道，此次Git倉庫被黑客洗劫勒索的事件，微軟似乎也未能幸免。

微軟已確認其開源平臺昨天也被黑客威脅，并同樣被要求支付款項才能歸還被竊取的392個源碼，這些倉庫的代碼和提交的信息均被一個名為 “gitbackup” 的賬號刪除。

從留言內容看，黑客已將受害者的Git倉庫中所有源代碼和最近提交的Repo刪除，只留下了0.1 比特幣(約 ¥3850)的贖金票據。

票據中寫道：“要想恢復已丟失的代碼，請將0.1 BTC發(fā)送到比特幣地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并將Git登錄信息和付款證明發(fā)送郵件至admin@gitsbackup.com。如不確定是否持有你的數據，可發(fā)送信息獲得驗證。10天內沒有收到付款，將公開代碼或以其他方式使用。”

得知消息后，GitHub回應：“目前，我們正在與受影響的用戶聯系，以保護和恢復他們的賬戶。”BitcoinAbuse 平臺顯示，該比特幣地址目前還未收到贖金。

GitHub建議用戶開啟雙因素身份驗證，為賬戶添加額外的安全層。

看似正經，實則鬧劇?

從留言看，黑客刪除了存儲庫中的全部數據信息，不過，真是如此嗎?

1、代碼還在

GitLab安全總監(jiān)Kathy Wang發(fā)表聲明回應：“我們已確定受影響的用戶帳戶，并已通知所有這些用戶。根據調查結果，我們有充分證據表明受損帳戶的帳戶密碼以明文形式存儲在相關存儲庫的部署中。”

也就是說，Kathy Wang認為黑客在票據中寫到的已經刪除存儲庫中全部數據信息的說法或許并非屬實。不是全刪了嗎，這話又怎么說?實際上，這是StackExchange安全論壇的成員針對此次事件進行深入研究后得到的結論。

研究發(fā)現“通常來說，‘git reflog’標示會顯示提交的全部數據，也就是說黑客很難克隆每一個存儲庫，讓他們在源代碼中尋找敏感數據或公開代碼的機會也很低。所以，這次威脅更像是隨機、本身由腳本生成。”

他們發(fā)現，黑客似乎并沒有向勒索票據中說的完全刪除這些數據，而僅僅是改變了Git提交標頭，也就是說這些數據很可能在特定情況下得以恢復。

2、分析

為找到這些黑客，StackExchange研究人員做了一個釣魚實驗：

首先，他們啟用了一些私人存儲庫，其中一部分修改成了容易破解的弱密碼，刪除了其一年多尚未使用的一個訪問令牌，另一部分則不變。然后，研究人員向GitLab發(fā)送郵件，希望他們可以及時通知。

研究人員稱，盡管我的弱密碼以“a”開頭且只有“az”字符，黑客卻并沒有懷疑它是否是我們?yōu)榱?ldquo;釣魚”而專門設定了這一陷阱。實際上，研究發(fā)現黑客通過自動檢查的方式查詢到了他們的賬戶，并且執(zhí)行了一系列的git命令。

“如果這是他們的方式，那么就意味著我們綁定的GitLab / GitHub郵件和密碼也可能已被泄露在賬戶列表中。而在這種情況發(fā)生的前一個小時內，谷歌搜索并沒有表現出任何的異常反應。”

另一處異常是：研究人員肯定在這之前沒有使用過訪問令牌的地方和位置，但結果是計算機上自動生成了這一切，因此他懷疑這正是問題所在。此外，還有4名開發(fā)人員也可以使用于實驗的存儲庫，這意味著他們的帳戶也可能受到威脅。

再深入研究，整個過程似乎并沒有顯示出明顯的非法行為。“我用BitDefender掃描了我的計算機但找不到任何痕跡。我肯定自己的計算機沒有被惡意軟件/木馬所感染，所以造成這一切的不會是上述情況。”

研究人員提到：“該實驗過程使用的是SourceTree，這讓我懷疑是不是我的SourceTree或者系統(Windows 10)存在某些漏洞。當然，目前的一切都只是分析。”

目前，StackExchange正和GitLab獲取更多信息(如果有的話)以幫助其深入研究恢復方案。