19 ноября в официальном блоге GitHub появилась запись в которой было сказано о том, что были скомпрометированы некоторые учетные записи пользователей использующих слабые пароли.
Администрация призывает использовать двухфакторную авторизацию и сложные пароли.
На e-mail'ы учетных записей чьи пароли были скомпрометированы уже высланы инструкции по дальнейшим действиям, сброшены токены доступа к репозиториям, OAuth и SSH ключи также нейтрализованы.
Как сообщает Шон Дэвенпорт, перебор шёл примерно с 40000 уникальных IP адресов, судя по всему использовалась ботнет сеть. В GitHub для хеширования паролей используется алгоритм bcrypt, что делает атаку перебором менее эффективной, так как данный алгоритм сам по себе требует много времени для шифрования пароля.
В связи а атакой были введены некоторые ограничения касаемые частоты входа в аккаунт и сложности пароля. Кроме этого, введена система мониторинга активности пользователей, которая анализирует глобальные изменения в репозиториях и уведомляет владельцев о проделанных изменениях. Точное число взломанных аккаунтов не разглашается.
Список паролей на которые выполнялся перебор:
Password1, Password123, Qwerty123, access14, admin123, bond007, letmein, pa55w0rd, passw0rd, password1, password123 и подобные.
Используйте сложные пароли, господа.
Автор: akamajoris