/image%2F2647755%2F20190518%2Fob_d3ba56_giphy-2.gif)
Le 3 mai, Kathy Wang, directrice de la sécurité de GitLab, a déclaré: «Nous avons identifié la source sur la base d'un ticket d'assistance déposé par Stefan Gabos hier et nous avons immédiatement commencé à enquêter sur le problème. Nous avons identifié les comptes d'utilisateurs concernés et tous ces utilisateurs ont été notifiés. À la suite de notre enquête, nous disposons de preuves solides que les mots de passe des comptes des comptes compromis sont stockés en texte brut lors du déploiement d'un référentiel associé. »
Selon l'article officiel de GitLab , «l'attaquant a au minimum eu accès à 131 utilisateurs et à 163 référentiels. Les comptes concernés ont été temporairement désactivés et les propriétaires ont été avertis. »
Cet incident s'est produit pour la première fois le 2 mai 2019 vers 22 heures GMT. GitLab a reçu le premier rapport signalant l'effacement d'un référentiel avec un commit nommé 'WARNING', qui contenait un fichier contenant la note de rançon demandant aux cibles de transférer 0,1 BTC (environ 568 USD) à l'adresse Bitcoin de l'attaquant, s'il souhaite récupérer ses données. S'ils ne parvenaient pas à transférer le montant, les cibles étaient menacées de voir leur code hébergé en public.
Voici la note de rançon qui a été laissée:
«Pour récupérer vos données perdues et éviter toute fuite: envoyez-nous 0,1 bitcoin (BTC) à notre adresse bitcoin 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA et contactez-nous par courriel à admin@gitsbackup.com avec votre identifiant Git et une preuve de paiement. Si vous ne savez pas si nous avons vos données, contactez-nous et nous vous enverrons une preuve. Votre code est téléchargé et sauvegardé sur nos serveurs. Si nous ne recevons pas votre paiement dans les 10 prochains jours, nous rendrons votre code public ou les utiliserons autrement. "
«Les cibles dont le référentiel a été compromis utilisent plusieurs plates-formes de gestion Git-repository, la seule autre connexion entre les rapports, à part Git, étant que les victimes utilisaient le client multiplate-forme SourceTree Free Git», rapporte The Bleeping Computer. GitLab, cependant, a commenté qu'il avait averti les utilisateurs de GitLab concernés et qu'il travaillait pour résoudre le problème rapidement.
Selon BitcoinAbuse.com , un site Web qui répertorie les adresses Bitcoin utilisées pour des activités suspectes, 27 rapports d’abus ont été signalés . Le premier rapport a été enregistré le 2 mai. «En le recherchant sur GitHub, nous avons trouvé 392 dépôts impactés, qui ont tous leurs commits et le code a été effacé à l'aide du compte ' gitbackup ' qui avait rejoint la plate-forme il y a sept ans, le 25 janvier 2012. Malgré cela, aucune victime n'a payé la rançon demandée par les pirates informatiques, sachant que l'adresse Bitcoin n'a reçu que 0,00052525 BTC le mois de mai. 3 via une seule transaction, ce qui équivaut à environ 2,99 $ », mentionne Bleeping Computer.
Un porte-parole de GitHub a déclaré à Bleeping Computers : «GitHub a mené une enquête approfondie sur ces informations, en collaboration avec les équipes de sécurité des autres entreprises touchées, et n’a trouvé aucune preuve que GitHub.com ou ses systèmes d’authentification aient été compromis. À l'heure actuelle, il semble que les informations d'identification du compte de certains de nos utilisateurs aient été compromises à la suite d'expositions inconnues vis-à-vis de tiers. ”
L’équipe GitLab a également recommandé à tous les utilisateurs de GitLab d’activer l’ authentification à deux facteurs et d’utiliser les clés SSH pour renforcer leur compte GitLab.
L'un des utilisateurs de StackExchange a déclaré : «J'ai également activé 2FA et je n'ai jamais reçu de message texte indiquant que la connexion brute avait réussi.»
Un utilisateur de StackExchange a reçu une réponse d'Atlassian, la société derrière Bitbucket et du client Git gratuit multiplate-forme, SourceTree: «Au cours des dernières heures, nous avons détecté et bloqué une tentative de connexion à votre compte Atlassian depuis une adresse IP suspecte. . Nous pensons que quelqu'un a utilisé une liste de données de connexion volées à des services tiers pour tenter d'accéder à plusieurs comptes. ”
Les utilisateurs de Bitbucket affectés par cette violation ont reçu un courrier électronique indiquant: « Nous sommes en train de restaurer votre référentiel et nous espérons qu'il sera restauré dans les prochaines 24 heures. Nous pensons que cela faisait partie d'une attaque plus large contre plusieurs services d'hébergement git, où le contenu du référentiel a été supprimé et remplacé par une note demandant le paiement de la rançon. Nous n'avons détecté aucun autre compromis de Bitbucket. Nous avons réinitialisé de manière proactive les mots de passe des comptes compromis pour empêcher toute activité malveillante ultérieure. Nous collaborerons également avec les forces de l'ordre dans toute enquête qu'ils mènent. Nous vous encourageons, ainsi que les membres de votre équipe, à réinitialiser tous les autres mots de passe associés à votre compte Bitbucket. De plus, nous vous recommandons d’activer 2FA sur votre compte Bitbucket. ”
Selon le fil de discussion de Stefen Gabos sur le forum de sécurité StackExchange, il mentionne que le pirate ne supprime pas, mais modifie simplement les en-têtes de commit Git. Il y a donc des chances que les validations de code puissent être récupérées, dans certains cas.
«Toutes les preuves suggèrent que le pirate informatique a scanné l’ensemble de l’Internet pour rechercher les fichiers de configuration Git, extrait les informations d’identité, puis utilisé ces connexions pour accéder aux comptes et les racheter aux services d’hébergement Git», rapporte ZDNet .
Dang, je pensais que toutes les analyses «/.git/config» que nous avions détectées étaient inoffensives. Je suppose que nous savons ce que l'objectif était maintenant.
- Rapport de mauvais paquets (@bad_packets) 3 mai 2019
Pour en savoir plus sur cette actualité et d’autres mises à jour, visitez le site officiel de GitLab .
Source :securityboulevard
-------------------------------------------------------------------------------------------------------------------------------
De plus, si vous êtes intéressé par la lecture de tels articles, veillez à suivre ce blog en cliquant sur le bouton "S'abonner".
Commentez ci-dessous ou partagez-le avec nous sur Groupe Facebook , Page Facebook Twitter Canal Discord
Utilisateur PC et macOS , : News Républic est disponible dans votre store pour suivre notre actualité "Global Informatique"
/image%2F2647755%2F20190623%2Fob_2cdb3c_check-macbook-pro-battery-recall.jpeg)
/image%2F2647755%2F20190623%2Fob_f1f5aa_48859182-303.jpg)
/image%2F2647755%2F20190622%2Fob_784cc8_freebsd-linux-difference.jpg)
/image%2F2647755%2F20190622%2Fob_820c91_c-google-play.jpg)
/image%2F2647755%2F20191213%2Fob_7aeb23_virtualbox-6-1-officially-released-wit.jpg)
/image%2F2647755%2F20191213%2Fob_ea3320_chip.png)
/image%2F2647755%2F20191213%2Fob_7c8939_64063315c2c194e4.jpeg)
/image%2F2647755%2F20191202%2Fob_a3a8f1_opensuse-leap-15-0.jpg)
Commenter cet article