原标题:Gentoo公开说明GitHub帐号被骇事件,原来是管理员密码被猜到惹的祸
Gentoo△Linux官方发文说明了GitHub帐号被骇事件。6月28日骇客取得Gentoo△Linux在GitHub上的管理员帐户控制权,在删除其他Gentoo开发人员的存取权限后,对上面的程式码内容大改特改,Gentoo在察觉到事件发生后,紧急要求GitHub支援,并且暂时冻结Gentoo的GitHub帐号,官方夺回帐号控制权后,才得以修正被恶意程式码污染的内容。
在6月28日晚上,Gentoo开发者Francisco△Blas△Izquierdo△Riera发出警告,他注意到官方的GitHub帐号遭到控制,Gentoo在GitHub上的套件管理系统Portage以及musl-dev△trees被以恶意版本的ebuild置换,且骇客试图移除开发人员贡献的内容。而他提到,虽然骇客置换了恶意程式码,却无法达成想要的目的,但是Gentoo使用者仍不应该使用在6月28日以前GitHub镜像上的ebuild。
Gentoo△Linux由于受惠其套件管理系统Portage的弹性,被形容为拥有几乎无限制的适应性,而且跟许多GNU/Linux不一样,Gentoo△Linux释出了大量的程式原始码,让使用者可以重新编译作业系统的每一个部分。ebuild则是Portage的基础,本身是一个纯文字档案,上面记述Portage需要下载的档案、该套件执行的平台以及编译方法等,每一个ebuild都对应一个套件。而GitHub则是Gentoo的其中一个程式码镜像来源。
官方盘点了GitHub帐号遭到骇客入侵受到的影响,最直接的就是有5天Gentoo使用者皆无法使用GitHub,而且合并请求(Pull△Request)持续整合失效,只有主节点可以被用来测试问题,而且由于不少Gentoo的代理维护者专案(Proxy△Maintainers△Project)贡献者都通过GitHub提交合并请求,因此那些专案皆受影响。当时骇客试图远端抹除使用者在不同程式码储存库的内容,但因为有多重保护措施而失败。官方提到,不受影响的使用者在骇客入侵的当下仍然持续进行内容贡献,发生了超过700次的提交。
较严重的影响是,所有过去的合并请求都从原本的提交中断且关闭,Gentoo官方正在与GitHub联系,确认这些损失可否修复。官方提到,骇客因为有管理员密码所以获得存取权限,而收集来的密码结构证据暗示着,应该是有网站的资讯泄漏,导致其他不相关的网页密码容易被猜到。
入侵事件过后即便官方GitHub服务重新上线,还是有一些问题存在,他们提到,由于这是第一次发生类似的事件,现在仍缺乏明确的指导方针,在第一时间告诉使用者如何验证他们的程式码是否受到污染,另外,他们也没有Gentoo△GitHub组织的细节备份,而且systemd△repo不是Gentoo的镜像内容,而是直接存储在GitHub上的。他们发现,GitHub无法通过git阻止存取储存库,导致事件发生时,恶意提交的内容会一直被外部存取。
最后官方也还是提醒使用者,在事件发生期间,从GitHub复制下来的内容可能皆存在恶意内容,建议重新创建,包括gentoo/gentoo、gentoo/musl与gentoo/systemd。他们也说,好险当时骇客将所有开发人员从专案中删除,导致大家都收到了电子邮件通知,使得他们可以立即做出反应,如果当时骇客安静的攻击,就可能会有更多的时间搞破坏。
相关:
假新闻氾滥引发印度多起私刑事件遭炮轰,WhatsApp:正测试内容标签以分辨作者
示意图,与新闻事件无关。 图片来源: WhatsApp 印度政府与印度媒体近日正相继炮轰在WhatsApp上流传的假新闻从今年5月以来已在印度引发十多起民众动用私刑并造成无辜民众伤亡的案件,而在印度拥有2亿用户数的WhatsA
研究人员利用热感摄影机成功自键盘输入后20秒测得密码iloveyou。 图片来源: UCI 窃取密码又有新招式。加州大学艾尔文分校(University△of△California, Irvine, UCI)研究人员发展出以热感摄影机量测手指留在键盘
Google 回应电邮泄露事件:严谨筛选第三方App开发商 | 香港 UNWIRE.HK 玩生活.乐科技
自 Google 一直与第三方开发商分享用户电邮一事被广泛报道后,负责 Google 云端硬盘的安全和私隐管理的总监 Suzanne Frey 昨天在日志上发文详述筛选第三方发开商的准则,及强调广告非 Google 的主要收入来源,冀释除
外国网民指三星手机自动向联络人发送图片 三星:已跟进事件 | 香港 UNWIRE.HK 玩生活.乐科技
网络上有海外三星手机用户表示,自从把手机内的官方讯息 App 更新到最新版后,讯息 App 会时不时把手机内的图片,还有储存的信息草稿,在不经意的情况下发送联络人清单的其他人,并且不留任何发送纪录。有不少用户在
【教学】WhatsApp 新功能:仅群组管理员可发言 | 香港 UNWIRE.HK 玩生活.乐科技
WhatsApp 群组能够让一众用家即时多人通讯。但对使用 WhatsApp 群组发布消息的用家来说,一时之间多位成员回应,会将原有讯息推走,让后来“上水”的用家难以看到重要讯息。WhatsApp 于昨日(2 日)推出新功能,让群