“Мы отправили пользователям со взломанными аккаунтами электронное письмо с инструкциями”, - рассказал в своем посте управляющий системы безопасности Шон Дэвенпорт. “Их пароли, персональные токены доступа, OAuth-авторизация и ключи SSH были аннулированы”.
Пользователям посоветовали просмотреть страницу “История безопасности” на предмет недавних изменений своих репозиториев или неудачных попыток зарегистрироваться, и включить двухфакторную аутентификацию.
GitHub надежно хранит пароли с помощью функции bcrypt и строго ограничивает частоту авторизации, чтобы блокировать атаки перебора паролей. Тем не менее, во время недавнего инцидента почти 40 тыс. уникальных IP-адресов “использовали для взлома методом «грубой силы» слабых паролей или паролей, используемых на других сайтах”.
Предположительно, взломщики взяли список имен пользователей и паролей, просочившийся с других веб-сайтов, и использовали ботнет сеть.
Точное количество взломанных паролей не разглашается, и GitHub не сразу ответил на запрос с требованием прояснить ситуацию.
GitHub планирует принять дополнительные меры касаемо частоты входа в аккаунт и запретит пользователям использовать распространённые слабые пароли.
Из этого следует, что не только пользователи, чьи аккаунты были взломаны, вынуждены сменить пароль, но и те, кто использует слабые пароли.
На странице регистрации GitHub сказано, что пароли должны содержать не менее 7 символов, по крайней мере одну букву нижнего регистра и одну цифру. Если пользователь пытается ввести слабый пароль (что-то вроде q1w2e3r4, password1 и iloveyou2), появляется сообщение “часто угадываются хакерами”.
Все же, чёрный список не столь исчерпывающий, поскольку допускаются такие пароли, как password2, 1l0v3y0u или p4ssw0rd.
Источник
Комментариев нет:
Отправить комментарий