斗牛棋牌

敲诈勒索者继续扫描暴露的Git信誉

对本月早些时候在Github,Gitlab和AtlassianBitbucket上托管的代码存储库的赎金攻击进行的联合分析证实,这是由于用户无意中泄漏了访问凭据数百名用户发现他们的公共和私有存储库已经被擦除,除非帐户遭到入侵的用户在十天内支付0。1比特币(发布时约为1,140澳元)以恢复其数据,否则攻击者威胁要将代码公开或者以其他方式使用敲诈勒索者的身份尚未被发现,但这个人或人仍然是一个积极的威胁虽然赎金在5月2日停止,扫描公开暴露的。gitconfig和类似的环境文件,可以保存敏感的凭据和个人访问令牌在相同的互联网协议地址之后持续了八天,从而损害了用户帐户少量0。00052525or大约4。30澳元发送给攻击者的比特币地址保持不变调查攻击的三个开源代码库托管服务的安全团队发现了攻击所源自的同一提供商的合法用户凭证转储,并且无效他们以防止进一步的妥协。Github,Bitbucket和Gitlab现在确信这一事件是由于用户意外地在他们自己的服务器上暴露凭证和个人访问令牌,而不是由于代码托管服务本身受到损害所有三个Git存储库提供帐户的多因素身份验证,并建议用户启用安全功能以及强大而唯一的密码但是,个人访问令牌也必须保持安全,因为他们可以绕过多因素身份验证并打开密码等存储库,读取和写入访问权限这是一个已知的安全问题,用户再次被警告不要e公共存储库和Web服务器中的。pose。git和。gitconfig目录和文件,如果它们包含访问凭据。Github和Gitlab可以扫描令牌并警告服务提供商,如果他们在公共存储库上发布了访问凭据。Bitbucket允许管理员要求2FA用户和支持白名单限制对特定IP地址的访问,作为额外的安全措施。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。