इस वीकेंड एक और चौंकाने वाली खबर सामने आने लगी है। Git रिपॉजिटरी हैक हो गई- ओपन सोर्स सॉफ्टवेयर के लिए डिस्ट्रिब्यूटेड वर्जन कंट्रोल को हैक कर लिया गया। इसमें विस्तारित चैनल के रूप में GitHub, GitLab और Bitbucket शामिल हैं। गिटहब सर्च के मुताबिक अब तक 392 यूजर अकाउंट हैक किए जा चुके हैं। इसके अलावा, मेलफैक्टर ने प्रोग्रामर के स्रोत कोड और संस्करण इतिहास को हटा दिया है और इसे बदल दिया है।
हैकर द्वारा फिरौती का संदेश
शुक्रवार की देर रात, कई प्रोग्रामर्स ने अपने "कमिट्स" सेक्शन को मिटाया और एक हैकर द्वारा बनाए गए फिरौती संदेश से बदल दिया। जिसमें हैकर ने 0.1 बिटकॉइन (बीटीसी) की राशि मांगी, लगभग 10 दिनों की अवधि में उनके बिटकॉइन पते पर लगभग 250 डॉलर जमा किए गए। या उनसे उनके ईमेल “[email protected]” पर संपर्क करने के लिए।
उसी संदेश में हैकर ने आगे धमकी दी कि अगर उसे 10 दिनों के भीतर भुगतान नहीं मिला है, तो वह स्रोत कोड को सार्वजनिक करेगा या अपनी इच्छा से उनका शोषण करेगा।
इसके बावजूद, किसी भी प्रोग्रामर ने हैकर्स को भुगतान करने की इच्छा नहीं दिखाई है, सिवाय इसके कि जिसने 0.00052525 बीटीएस की मामूली राशि का भुगतान किया, जो मोटे तौर पर $ 3 में परिवर्तित हो जाता है।
गिट रिपॉजिटरी हैक किया गया- विस्तृत रिपोर्ट
यह अभी भी स्पष्ट नहीं है कि यह शोषण क्यों हुआ, लेकिन अनुमान यह है कि हैकर्स ने फ्री सोर्सट्री गिट प्लेटफॉर्म का फायदा उठाया होगा। उन उपयोगकर्ताओं के लिए जो एकाधिक git रिपॉजिटरी का उपयोग कर रहे थे, केवल वही हैं जिन्हें लक्षित किया जा रहा है।
इस मामले पर एक आधिकारिक अपडेट GitLab में सुरक्षा निदेशक कैथी वांग से आया है। उसने इस मुद्दे की पुष्टि की और आश्वासन दिया कि गिटलैब में जांच शुरू हो चुकी है। उन्होंने आगे कहा कि प्रभावित उपयोगकर्ताओं की पहचान कर ली गई है और उन्हें सूचित कर दिया गया है। हैक के संबंध में, उसने जांच का हवाला दिया कि हैक किए गए खातों के सबूत सार्वजनिक अनुमत फाइलों में संग्रहीत हैं।
साथ ही, केवल वे रेपो प्रभावित हुए जिन्हें GitHub और GitLab से Bitbucket तक कई प्लेटफार्मों पर होस्ट किया गया था। इसलिए, यह बहुत संभव है कि मैलवेयर किसी विशेष भेद्यता के बजाय ढीले सुरक्षा ढांचे को लक्षित कर रहा हो।
गिट रिपॉजिटरी हैक किया गया- क्या करें?
यहां गंभीर चिंता यह है कि हैकर कोड को सार्वजनिक कर सकता है या अपनी इच्छा से उनका शोषण कर सकता है।
निम्नलिखित चीजें हैं जिनका आपको अभी ध्यान रखने की आवश्यकता है:
- स्पष्ट रूप से, सुनिश्चित करें कि आप अपनी सार्वजनिक कॉन्फ़िगरेशन फ़ाइलों में अपने पासवर्ड संग्रहीत नहीं कर रहे हैं वेब पर होने वाले अधिकांश हमलों से प्रतिरक्षित रहने में आपकी सहायता करेगा।
- साथ ही, सुनिश्चित करें कि आप बहु-कारक प्रमाणीकरण का उपयोग कर रहे हैं आपके भंडार के लिए।
संक्षेप में, सतर्क रहना ही इसका उत्तर है। एक छोटे से सुरक्षा उपाय को नज़रअंदाज़ करने से एक भयानक हैक हो सकता है जिससे आप बच सकते थे।