Erpressungswelle zielt auf öffentliche Git-Repositorys

Derzeit trifft eine Erpressungswelle die Betreiber öffentlicher Repositorys bei den Onlinediensten GitLab, GitHub und BitBucket. Die Angreifer haben den Inhalt jeweils gelöscht und behaupten, eine Kopie auf ihrem Server gespeichert zu haben. Sollten die Betreiber nicht innerhalb von zehn Tagen das Lösegeld zahlen, würden die Daten endgültig gelöscht.

Ein Thread auf StackExchange berichtet von einem der Fälle. Der Betroffene war sich zunächst unsicher, wie die Hacker Zugriff auf seinen Account bekamen. Zunächst glaubte er, dass sie das offensichtlich schwache Passwort über eine Brute-Force-Attacke erraten haben. Es stellte sich aber heraus, dass die Zugangsdaten im Klartext zu finden waren. Im konkreten Fall hatte jemand die Daten in .git/config eingetragen.

Bericht von GitLab

GitLab hat am Freitag mit einem Blogbeitrag zur Erpressungswelle reagiert. Offensichtlich haben Untersuchungen ergeben, dass für alle betroffenen Accounts die Zugangsdaten im Klartext in einem Repository zu finden waren, das mit dem gelöschten in Verbindung steht. Dass dieses Vorgehen ein absolutes Tabu ist, sollte eigentlich allen Entwicklern bewusst sein. Häufig geschieht es jedoch dennoch entweder aus Bequemlichkeit oder aus Unachtsamkeit. So kommt es vor, dass Entwickler die Zugangsdaten in einer nur für eigene Zwecke bestimmte Datei ablegen, die ihren Weg ins Repository findet.

GitLab ruft noch einmal ausdrücklich dazu auf, starke und einmalige Passwörter zu verwenden. Außerdem empfiehlt der Betreiber den Einsatz von Zwei-Faktor-Authentifizierung und das Verwenden von SSH-Schlüsseln.

Viele Entwickler besitzen eine lokale Kopie ihres Repositorys, daher dürfte der Schaden in den meisten Fällen gering sein. Da die Hacker wohl teilweise neben dem Löschen des Sourcecodes auch Änderungen an einzelnen Dateien im Repository vorgenommen haben, sollten Entwickler es über den git-Befehl auf einen Stand vor dem Angriff zurücksetzen und nicht nur einzelne Dateien ersetzen. Wer eine vollständige Kopie des Repositorys hat, kann das Web-Repo mit folgendem Befehl wiederherstellen:

git push origin HEAD:master --force

Entwickler ohne volles Backup finden weitere Optionen zum Herstellen des alten Zustands im GitLab-Blogbeitrag.

Ein Zehntel Bitcoin als Warnschuss für alle Entwickler

Auf der Site Bitcoin Abuse, die Adressen von Erpressern und anderen Angreifer, die Bitcoin-Zahlungen fordern sammelt, findet sich der Text mit der Drohung der Angreifer: Die Erpresser fordern von den Repository-Betreibern den Betrag von 0,1 Bitcoin, was zum Zeitpunkt des Angriffs etwa 500,- Euro entspricht. In der Datenbank waren bis zum Sonntag 35 Vorfälle gemeldet.

Der Angriff sollte ein Warnschuss in die Richtung derjenigen sein, die bisher leichtfertig mit den Zugangsdaten zu ihren Repositorys umgegangen sind. Sei es, weil der Code ohnehin öffentlich sei oder sie keine Angriffe erwartet haben. Die Erpressungsabsichten sind in dem Fall ein Vorteil für die Allgemeinheit. Ebenso hätten Angreifer unbemerkt Dateien manipulieren können, um weitere Angriffe durchzuführen oder vorzubereiten.

Das versehentliche Veröffentlichen von Credentials geschieht offensichtlich häufiger als manche denken mögen. So hatte GitLab erst im März entsprechende Sicherheitsmaßnahmen in sein Angebot integriert, die jedoch nur für kommerzielle Kunden gelten und weniger die Zugangsdaten zum Repository selbst als zu anderen Systemen im Fokus hatte. Die aktuell Erpressungswelle scheint dagegen ausschließlich oder zumindest in erster Linie private, kostenfreie Repositorys zu betreffen. (rme)