我的一个回购今天被清除了，只留下一条信息并用比特币赎金。我不知道他们是如何访问我的帐户的，在 github 安全页面上看不到任何内容。

他们希望我联系的电子邮件的域是今天才创建的，谷歌什么也没提供，也似乎是一个新的比特币地址，因为谷歌没有返回任何内容。

他们只擦除了一个 repo，而且有 50 多个，这让我觉得他们从未直接访问过我的帐户，并且可能从我将 repo 克隆到的服务器上访问过，或者这是一次有针对性的攻击，他们确切地知道他们在追求什么。

有没有办法检查我的其他存储库最近是否被访问和克隆？它们都设置为私有。

我现在有点不知所措，github中已经打开了2个因素，使用代码的主服务器我已经删除了未使用的脚本等更改了密码，目前正在构建一个新的服务器droplet和移动所有东西以防万一服务器被访问。

尽管我们有大约 50 个客户在使用它，但此代码仍处于测试阶段。在开发过程中也有一些例子，只是因为我完全没有时间通过​​默默无闻的方式去寻找旧的安全性......所以这将对我的客户产生直接影响。

任何人都有任何意见，我如何尝试追溯其来源，首先找出他们是如何获得访问权限的？

刚刚检查了最后的提交细节，

警告

gitbackup
gitbackup 4 小时前提交

所有提交历史和所有代码都消失了。

更新：比特币地址和电子邮件开始在谷歌上出现类似事件的报告，至少我现在知道它是随机的，没有针对性。

来自 Github 的回复

Github 今天给我一个非常标准的回复。

我们最近注意到您的 GitHub 帐户上有一些可疑活动，表明攻击者可能已经登录、下载并恶意修改了某些存储库，如下所列。出于谨慎考虑，我们决定强制重置与此电子邮件地址关联的帐户的密码。我们没有理由相信 GitHub 已被黑客入侵或入侵。

这种未经授权的访问通常是由于跨多个在线服务的凭据重用而发生的。然后，攻击者能够从过去被入侵的其他在线服务获取电子邮件地址和密码列表，并在 GitHub 上进行尝试。

涉嫌接管的仓库：

xxxx

如果您有存储库的本地副本，强制将其推送到 GitHub 应该会将存储库恢复到之前的状态。如果您没有本地副本，请通过以下电子邮件地址联系我们的支持团队以请求帮助。