Учетные записи пользователей веб-сервис для хостинга IT-проектов GitHub подверглись взлому

Брутфорс-атака продолжается уже три дня и затрагивает пользователей со слабыми паролями и отключенной двухэтапной аутентификацией.

Пользователям GitHub настоятельно рекомендуется как можно скорее сменить пароль на более сложный и подключить двухэтапную аутентификацию, чтобы защититься от продолжающейся автоматизованной брутфорс-атаки. Об этом предупреждает инженер безопасности GitHub Шон Дэвенпорт (Shawn Davenport).

Последние несколько дней GitHub находится под масштабной брутфорс-атакой. Некоторые пользователи со слабыми паролями уже подверглись взлому, вследствие чего администрация репозитория сбросила их пароли и отозвала маркеры доступа, авторизации через OAuth и ключи SSH, предварительно предупредив их об этом.
«Мы продолжаем расследование и предупредим вас, если злоумышленники получат доступ к вашим исходным кодам или учетным данным», сообщил Дэвенпорт, подчеркнув, что пароли для ряда хорошо защищенных аккаунтов также были сброшены из-за подозрительной активности.

«Мы ограничиваем неудачные попытки входа и надежно храним пароли пользователей, но в ходе атаки было зафиксировано, что приблизительно 40 тысяч уникальных IP-адресов использовались для медленного подбора паролей», - объяснил инженер.

Пользователи ресурса Hacker News заметили, что с их учетных записей были предприняты попытки входа из китайских, индонезийских, венесуэльских и эквадорских IP-адресов. Комментатор из числа работников GitHub сообщил, что в компании уже составили список из взломанных и широко распространенных паролей, и, если пароль пользователя совпадает с выражением из списка, учетная запись блокируется и предлагается смена пароля.
«Мы написали скрипт, который сверял хэш-суммы паролей и сохраненного salt-кода каждого пользователя с нашим списком, и каждый, у кого был найден похожий пароль, должен будет его сменить. Мы также заставляем наших клиентов менять свои пароли каждые 28 дней и сохраняем данные о последних семи паролях в базе данных, чтобы удостовериться, что пользователь не использует один и тот же пароль».

Всем пользователям настойчиво рекомендуется включить двухэтапную аутентификацию, при которой, помимо пароля, требуется ввести специальный код, который приходит на телефон пользователя. В этом случае успешность проведения брутфорс-атаки сводится к нулю.


Если же вы хотите проверить, пытался ли кто-нибудь зайти в систему под вашей учетной записью, откройте страницу истории безопасности и проверьте журналы входов.
 

Еще интересное

Житель Коммунарского района Запорожья заявил в милицию о мошенничестве
Областная прокуратура будет принимать обращения в режиме онлайн

Международная антивирусная компания ESET предупреждает пользователей Facebook о новой уловкеинтернет-мошенников — спаме о «бесплатных билетах на концерт Rolling Stones».

Британские эксперты подсчитали, что последствия преступлений в интернете обходятся государству дороже, чем борьба с контрабандой наркотиков.
Украинские власти предлагают взимать дополнительную плату за ввоз в страну устройств, поддерживающих Wi-Fi.
По мнению экспертов, вероятность стать жертвой мошенников после хищения личных данных равна 25%.