Git Ransom aus Sicht der Dienstbetreiber

Git Ransom: Gemeinsame Erklärung von Bitbucket, GitHub und GitLab
Keine Kommentare

Nach einem Erpresser-Angriff auf Nutzer von Bitbucket, GitHub und GitLab haben die drei Betreiber nun in einer gemeinsamen Erklärung ihre Sicht der Dinge geschildert. Neben einer Zusammenfassung der Ereignisse betonen sie die Sicherheit ihrer Produkte und geben Nutzern einige Ratschläge zum Selbstschutz.

Anfang des Monats führten Erpresser einen Angriff auf Nutzer von Bitbucket (betrieben von Atlassian), GitHub und GitLab durch. Nun haben die drei Betreiber ein gemeinsames Statement herausgegeben. Darin erläutern sie den Ablauf des als Git Ransom bekannten Angriffs und beschreiben, wie sich Nutzer besser selbst schützen können.

Git Ransom: Was war passiert?

Der gemeinsamen Erklärung zufolge wurden die betroffenen Repositories von den Angreifern mit einer Nachricht überschrieben. Als Teil dieses Vorgangs wurde auch die Commit-Historie der gekaperten Repositories gelöscht. In der Nachricht forderten die Erpresser von den rechtmäßigen Nutzern die Zahlung von 0,1 Bitcoins (nach heutigem Kurs etwa 700€) innerhalb von zehn Tagen.

Wie die Plattformen mitteilten, basierte der Angriff auf der Verwendung legitimer Zugangsdaten. Dazu gehören neben Namen oder Passwörtern auch API-Schlüssel und persönliche Zugriffstokens. Die Daten für etwa ein Drittel der betroffenen Accounts stammen aus einem öffentlich zugänglichen Archiv. Dieses ist bei dem Provider gehostet, dessen Server die Angreifer zur Durchführung der Attacke nutzten.

Im Rahmen ihrer Untersuchung stellten GitHub und Co. fest, dass bis zum 10. Mai noch nach öffentlich zugänglichen .git/config und ähnlichen Umgebungsdateien gescannt wurde. Auch diese Scans gingen von IP-Adressen desselben Anbieters aus. Das Problem, dass solche Files jedem Zugriff auf Konten oder Repositories geben könnten, ist nach der Erklärung der Git-Provider nicht neu. Alle betroffenen Konten wurden nach Angaben der Betreiber vorrübergehend gesperrt oder zurückgesetzt, die Nutzer wurden informiert.

Wiederherstellung betroffener Repositories

Wer eine vollständige Kopie seines Repositories besitzt, kann mittels git push origin HEAD:master --force einen Force-Push durchführen. Sollte kein entsprechendes Backup vorliegen, kann über git reflog oder git fsck ein Klon erzeugt und nach dem letzten Commit durchsucht werden.

Für zusätzliche Unterstützung bei der Wiederherstellung der verlorenen Inhalte fordern die Plattformen ihre Nutzer auf, sich beim Support von Atlassian, GitHub oder GitLab zu melden.

Selbstschutz der Nutzer

In ihrem Statement empfehlen Atlassian, GitHub und GitLab ihren Nutzern die Verwendung von Multifaktor-Authentifikation. Zusätzlich weisen sie darauf hin, dass man für jeden Dienst ein einmaliges und sicheres Passwort verwenden sollte. Wer seine Zugriffe über Tokens realisiert, sollte sich der entsprechenden Risiken bewusst sein. Tokens können mit Lese- und Schreibrechten ausgestattet sein. Werden Tokens über Git oder das API genutzt, kann man damit Multifaktor-Authentifikation umgehen. Außerdem sollten Nutzer darauf achten, dass .git und .git/config nicht öffentlich abrufbar sind.

Die drei Unternehmen betonen in ihrem Statement, dass es keine Beweise für eine Kompromittierung eines oder mehrerer ihrer Produkte gebe. Die vollständige Mitteilung zum Thema Git Ransom kann auf der Website von GitLab nachgelesen werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -