GitHub 被駭！不明人士冒充 CEO 外流機密程式碼

YouTube-dl 事件剛過去，GitHub 又登上 Hacker News 榜首。原因是程式碼全遭外流！

從開發者 Resynth 的部落格文了解，一個向 GitHub 官方 DMCA 資料庫提交的可疑 Commit，不明身分人員利用 GitHub 應用程式的 bug 假冒 GitHub CEO Nat Friedman 上傳機密程式碼。

▲ 洩露檔案已全部移除。

GitHub 想必大家都非常熟悉，是大型程式碼儲存庫，主要為企業和開發人員提供托管專案和服務程式碼。蘋果、亞馬遜、Google、Facebook 及其他許多大型科技公司都是主要用戶。同時 GitHub 被托管超過 1 億個程式庫，為 4 千萬開發人員提供資源支援。

因此洩露事件一出便迅速衝上 Hacker News 熱搜，不少開發者表示為 GitHub 平台的安全性擔憂。

Friedman 第一時間解釋，表示 GitHub 沒有被駭客入侵，洩露的是部分 GitHub Enterprise Server 程式碼。兩者雖然共用大量程式碼，但 GitHub 主要是由 Ruby 編寫，還是有很大差別。

事件起因是幾個月前，開發人員無意間將企業伺服器程式碼的未脫敏／混淆的 tarball 交給一些用戶。他們正全力修復 Bug，防止未經授權的不明人士透過虛擬身分隨意盜用、修改他人專案。

Friedman 為了安撫用戶，甚至還引用勃朗寧的詩：一切都很好，情況也很正常，雲雀展翅飛翔，蝸牛在荊棘上爬動，世上一切順常！

不過開發者並不買帳。從吐槽來看，Github 程式碼管理系統早有多隻 Bug，如提交程式碼時，Git 不會驗證用戶身分，造成極大安全風險，但 GitHub 從未重視。

另外有人表示正是利用這點，不明人士才順利冒充 Friedman 發出機密程式碼。

程式碼管理者 Git 有 Bug

Git 是 Github 托管程式碼的分散式版本管理系統，簡單來說，就是程式碼管理者。但設計有明顯的缺陷，即沒有為防止其他用戶盜用提供太多保護。舉例說，Git 上傳程式碼的過程，類似傳送電子郵件，用戶可在 user.name 和 user.email 欄位輸入任何資訊，如果兩欄位不採用 GPG 加密鍵連結，系統就不會驗證它的指定來源，造假非常容易。

不明人士順利提交成功，顯然是 Friedman 沒為相關欄位建立 GPG（General Planning Group）加密鍵。

那繞過這層限制後，不明人士又如何提交至程式庫，同時又不損害其他帳號？據了解，提交內容上傳到 Git 程式庫會得到雜湊值，可用於尋找樹。GitHub 是 Web 應用程式的一部分，提供瀏覽器底層 Git 架構的存取權，因此可將 Git 程式庫所有分支存到一個單獨底層程式庫，儘管通常不會在 URL 架構顯示。

為了假冒別人，不明人士首先需要複製一個 DMCA 程式庫。延伸到程式庫後，再提交洩漏程式碼，並偽造 Friedman 姓名和信箱。過程 Fork 程式庫可能會出現錯誤，換句話說，URL 可能依然指向假冒者真正的用戶名和帳號。

但在底層 Git，父級和 Fork 都是同個程式庫的一部分，允許假冒者建立一個 URL，可在記憶體程式庫提交，而不是在 Fork。