Aktuell überrollt die Betreiber öffentlicher Repositorys bei Onlinediensten wie GitLab, GitHub oder BitBucket eine Erpressungswelle. Die Angreifer löschen die Inhalte und behaupten, vorher eine Kopie auf ihrem eigenen Server gespeichert zu haben. Würden die Betreiber nicht innerhalb von zehn Tagen ein Lösegeld bezahlen, würden die Daten dann endgültig gelöscht.
Eine Stellungnahme von GitLab
Schon am Freitag hat GitLab mit einem Blogbeitrag zur Erpressungswelle reagiert. Untersuchungen haben danach ergeben, dass für alle betroffenen Accounts die Zugangsdaten im Klartext in einem Repository zu finden waren, das mit dem durch die Angreifer gelöschten verbunden ist.
Dass dieses Vorgehen ein absolutes Tabu ist. Jeder Entwickler sollte sich darüber klar sein, dass diese Vorgehensweise ein absolutes Tabu ist. Aber trotzdem passiert das immer wieder – entweder nur aus Bequemlichkeit oder auch aus Unachtsamkeit. Es kommt beispielsweise auch vor, dass Entwickler die Zugangsdaten in eine nur für eigene Zwecke bestimmte Datei schreiben, die dann letztlich doch irgendwie im Repository landet.
GitLab ruft erneut ausdrücklich dazu auf, nur starke und einmalige Passwörter zu verwenden. Außerdem empfiehlt der Betreiber den Gebrauch der angebotenen Zwei-Faktor-Authentifizierung und die Nutzung von SSH-Schlüsseln.
Die Forderungen der Erpresser
Auf der Internetseite Bitcoin Abuse, die die Adressen von Erpressern und anderen Bitcoin-Zahlungen fordernden Angreifern, sammelt, ist ein Text mit der Forderung der Angreifer zu finden, die besagt, das die Erpresser von den Repository-Betreibern den Betrag von 0,1 Bitcoin fordern, was ungefähr 500,- € entspricht. In dieser Erpresser-Datenbank waren bis Sonntag schon 35 Vorfälle gemeldet.