USD 64.37 ЕВРО 70.93

Аккаунты GitHub со слабыми паролями были взломаны методом брутфорса

Экономика

Пользователь GitHub? Пора установить двухфакторную аутентификацию!

Взлом GitHubКак показывает практика, дизайнеры не очень отличаются от обычных домохозяек, проводящих время в соцсетях, а некоторые кодеры — не осторожнее таких дизайнеров. Популярный сервис размещения ПО GitHub призывает пользователей перейти на двухфакторную аутентификацию: аккаунты со слабыми паролями были взломаны методом брутфорса.

Поскольку массовые угоны аккаунтов со слабыми паролями, к тому же используемыми со множеством аккаунтов происходят в последнее время чуть не еженедельно, дополнительный уровень аутентификации пользователей становится общепринятой практикой для онлайн-сервисов. Apple, DropBox, Google, Twitter, Facebook и Microsoft перешли к этой практике ещё с прошлого года.

GitHub рассылает эмейлы пользователям со слабыми паролями, чьи учётные записи были взломаны методом перебора по словарю с использованием около 40000 уникальных IP-адресов.

Эти IP-адреса использовались для «взлома методом «грубой силы» или использования паролей, используемых на множественных сайтах», как сказано в блоге управляющего системы безопасности GitHub Шона Дэвенпорта сегодня.

GitHub заблокировал пароли взломанных учётных записей и обратился к пострадавшим с просьбой создать новые, более сложные пароли. Помимо этого, были отменены персональные токены доступа, OAuth-авторизация и ключи SSH для взломанных аккаунтов.

По словам Дэвенпорта, были также заблокированы некоторые учётные записи с сильными паролями после обнаружения, что вход в эти аккаунты осуществлялся с тех же IP, что были использованы во время атаки.

Те пользователи, чьи пароли были сильны или была задействована двухфакторная аутентификация, могли наблюдать безуспешные попытки аутентификации взломщиков в собственные аккаунты. Десятки пользователей GitHub сообщали о попытках входа в свои учётные записи с IP-адресов из Китая, Индонезии, Эквадора, Венесуэлы итд.

Неудачные попытки логина фиксируются на страничке «История безопасности», предоставляемой GitHub и доступной пользователям со сложными паролями и включенной двухфакторной аутентификацией.