5月初,来自GitHub,GitLab和Bitbucket的Git代码托管平台的几个用户被黑客攻击并被洗劫一空。现在,这三家服务提供商联合发布了一份声明,声明所有平台都是Uninvaded,用户因为无意中泄露了凭据而被勒索,因此他们还在此声明中解释了用户管理帐户的最佳安全实践。
这些Git服务提供商会立即暂停这些用户活动,撤消或重置凭据以防止进一步的恶意行为。在调查期间,他们发现有第三方代金券倾销托管服务提供商,泄露了三分之一的受影响帐户凭据。另一个敏感数据凭证泄漏是由于公共Web服务器或存储库公开.git/config。该声明提到这不是一个新问题。用户不应该在公共存储库或网页中。在服务器上,使用包含令牌的.git/config文件公布凭据。
声明建议用户启用多重身份验证以保护其帐户,并为每个服务设置强大且唯一的密码,以防止其他用户在第三方泄露敏感信息时受到影响。该声明还提到,在组织许可的情况下,用户应使用密码管理工具。
此外,该声明还警告个人访问令牌存在风险,因为通过Git或API使用个人访问令牌将绕过多因素身份验证过程,并且可能具有读取和写入存储,具体取决于令牌权限设置。应将库的功能视为密码,否则可能存在安全风险。当fun88用户在克隆URL中输入令牌时,Git会以明文形式将令牌写入.git/config文件,因此在暴露.git/config时可能会恶意使用它。该语句还提醒用户,在使用API时,请记住将令牌用作环境变量,而不是将其写入代码。
