Verschillende platformen die softwareontwikkelaars gebruiken voor hun projecten hebben alarm geslagen nadat de accounts van gebruikers zijn overgenomen en hun code gegijzeld. Het gaat om Atlassian Bitbucket, GitHub en GitLab.

Aanvallers weten op de accounts van gebruikers van deze platformen in te loggen en verwijderen vervolgens aanwezige code. In een achtergelaten bericht stellen de aanvallers dat slachtoffers door het betalen van 650 euro hun code kunnen terugkrijgen. Eerder deze maand maakte GitLab bekend dat aanvallers tenminste 131 gebruikersaccounts en 163 repositories hadden benaderd.

Het probleem speelt ook bij andere platformen. GitLab stelde dat de accounts door onveilig wachtwoordgedrag konden worden overgenomen. In een update bevestigen de drie platformen dat. Accounts worden gekaapt via legitieme inloggegevens, waaronder wachtwoorden, app-wachtwoorden, API-keys en persoonlijke toegangstokens. Vervolgens wordt de inhoud van de repositories overschreven en eerdere versies van gecommitte code verwijderd.

Alle drie de platformen hebben getroffen gebruikers gewaarschuwd en hun accounts tijdelijk geblokkeerd om verder misbruik te voorkomen. Tijdens het onderzoek naar de aanvallen werd er een dump van inloggegevens ontdekt. Een derde van alle gecompromitteerde accounts was via deze inloggegevens overgenomen. Daarop hebben de drie platformen alle inloggegevens in de dump voor hun eigen gebruikers ongeldig gemaakt.

Gebruikers van Bitbucket, GitHub en GitLab krijgen het advies om sterke wachtwoorden te gebruiken, waarbij het gebruik van een wachtwoordmanager wordt aangeraden. Ook worden gebruikers gewezen op het risico van persoonlijke toegangstokens. Daarmee kan namelijk multifactorauthenticatie worden omzeild. Tevens wordt aangeraden om git-directories en configuratiebestanden niet voor het internet toegankelijk te maken.