ActualitésSécuritéTechnos

Un hacker réclame une rançon pour des centaines de dépôts de code Git volés

Ne stockez pas vos mots de passe en texte brut

Vers la fin de la semaine dernière, un pirate informatique a volé les données de centaines de référentiels de code Git et les stocke contre une rançon sur leurs serveurs, menaçant de divulguer le code au public si les propriétaires concernés ne payent pas. Les utilisateurs de GitHub, Bitbucket et GitLab qui ont signalé la disparition de leur code ont trouvé la note de rançon suivante à la place:

Pour récupérer votre code perdu et éviter toute fuite: envoyez-nous 0,1 bitcoin (BTC) à notre adresse bitcoin ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA et contactez-nous par courriel à [email protected] avec votre identifiant Git et une preuve de paiement. Si vous ne savez pas si nous avons vos données, contactez-nous et nous vous enverrons une preuve. Votre code est téléchargé et sauvegardé sur nos serveurs. Si nous ne recevons pas votre paiement dans les 10 prochains jours, nous rendrons votre code public ou les utiliserons autrement.

Lorsque la note de rançon a été publiée vendredi, elle indiquait que les propriétaires disposaient de 10 jours pour payer 0,1 bitcoin, ce qui représente actuellement environ 565 $. Même si le temps presse jusqu’au 13 mai, il peut exister un recours pour récupérer vos données sans payer. Contacter la ligne d’assistance de votre service peut s’avérer utile à court et à long terme, car ces entreprises s’efforcent toujours de remédier aux vulnérabilités par lesquelles le pirate informatique a trouvé une solution.

Si vous n’avez pas encore contacté le support, ZDNet indique également qu’un utilisateur de StackExchange a quelques astuces pour récupérer des données volées, bien qu’elles puissent être récupérées dans un état mutilé.

Le pirate aurait fouillé dans Internet pour rechercher les fichiers de configuration Git, puis aurait extrait les informations d’identification répertoriées en texte brut pour pouvoir y accéder. La leçon? Ne stockez pas vos mots de passe en texte brut. Même les comptes avec des mots de passe apparemment inviolables étaient en danger. Kathy Wang, directrice de la sécurité de GitLab, a insisté dans une déclaration à ZDNet selon laquelle les utilisateurs peuvent se protéger contre de futures attaques comme celle-ci en utilisant des outils de gestion de mot de passe verrouillés avec une authentification à deux facteurs.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer