5月初，來自GitHub，GitLab和Bitbucket的Git代碼托管平臺的幾個用戶被黑客攻擊并被洗劫一空。現在，這三家服務提供商聯合發布了一份聲明，聲明所有平臺都是Uninvaded，用戶因為無意中泄露了憑據而被勒索，因此他們還在此聲明中解釋了用戶管理帳戶的最佳安全實踐。

GitHub，GitLab和Bitbucke已經通知并幫助受影響的用戶恢復他們的代碼庫，并就Git社區的生態系統安全事件進行協作。當他們收到用戶的回復時，他們立即展開調查，發現所有勒索軟件用戶帳戶都是使用合法憑據訪問的，包括密碼，應用程序密碼，API密鑰和個人訪問令牌。在獲得憑證之后，客戶然后懷疑使用自動方法執行Git命令以非常快的速度訪問這些帳戶，并用贖金支付信息覆蓋原始存儲庫的內容，并最終遠程刪除提交的歷史記錄。

這些Git服務提供商會立即暫停這些用戶活動，撤消或重置憑據以防止進一步的惡意行為。在調查期間，他們發現有第三方代金券傾銷托管服務提供商，泄露了三分之一的受影響帳戶憑據。另一個敏感數據憑證泄漏是由于公共Web服務器或存儲庫公開.git/config。該聲明提到這不是一個新問題。用戶不應該在公共存儲庫或網頁中。在服務器上，使用包含令牌的.git/config文件公布憑據。

聲明建議用戶啟用多重身份驗證以保護其帳戶，并為每個服務設置強大且唯一的密碼，以防止其他用戶在第三方泄露敏感信息時受到影響。該聲明還提到，在組織許可的情況下，用戶應使用密碼管理工具。

此外，該聲明還警告個人訪問令牌存在風險，因為通過Git或API使用個人訪問令牌將繞過多因素身份驗證過程，并且可能具有讀取和寫入存儲，具體取決于令牌權限設置。應將庫的功能視為密碼，否則可能存在安全風險。當fun88用戶在克隆URL中輸入令牌時，Git會以明文形式將令牌寫入.git/config文件，因此在暴露.git/config時可能會惡意使用它。該語句還提醒用戶，在使用API時，請記住將令牌用作環境變量，而不是將其寫入代碼。

總結

以上是生活随笔為你收集整理的三个程序代码托管平台出现勒索事件? 建议启用多因素验证以保护账户的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。