Ряд учетных записей пользователей GitHub подвергся взлому в ходе брутфорс-атаки

Пользователям GitHub настоятельно рекомендуется как можно скорее сменить пароль на более сложный и подключить двухэтапную аутентификацию, чтобы защититься от продолжающейся автоматизованной брутфорс-атаки. Об этом предупреждает инженер безопасности GitHub Шон Дэвенпорт (Shawn Davenport).

Последние несколько дней GitHub находится под масштабной брутфорс-атакой. Некоторые пользователи со слабыми паролями уже подверглись взлому, вследствие чего администрация репозитория сбросила их пароли и отозвала маркеры доступа, авторизации через OAuth и ключи SSH, предварительно предупредив их об этом.

«Мы продолжаем расследование и предупредим вас, если злоумышленники получат доступ к вашим исходным кодам или учетным данным», сообщил Дэвенпорт, подчеркнув , что пароли для ряда хорошо защищенных аккаунтов также были сброшены из-за подозрительной активности.

«Мы ограничиваем неудачные попытки входа и надежно храним пароли пользователей, но в ходе атаки было зафиксировано, что приблизительно 40 тысяч уникальных IP-адресов использовались для медленного подбора паролей», - объяснил инженер.

Пользователи ресурса Hacker News заметили, что с их учетных записей были предприняты попытки входа из китайских, индонезийских, венесуэльских и эквадорских IP-адресов. Комментатор из числа работников GitHub сообщил, что в компании уже составили список из взломанных и широко распространенных паролей, и, если пароль пользователя совпадает с выражением из списка, учетная запись блокируется и предлагается смена пароля.

«Мы написали скрипт, который сверял хэш-суммы паролей и сохраненного salt-кода каждого пользователя с нашим списком, и каждый, у кого был найден похожий пароль, должен будет его сменить. Мы также заставляем наших клиентов менять свои пароли каждые 28 дней и сохраняем данные о последних семи паролях в базе данных, чтобы удостовериться, что пользователь не использует один и тот же пароль».

Всем пользователям настойчиво рекомендуется включить двухэтапную аутентификацию, при которой, помимо пароля, требуется ввести специальный код, который приходит на телефон пользователя. В этом случае успешность проведения брутфорс-атаки сводится к нулю.

Если же вы хотите проверить, пытался ли кто-нибудь зайти в систему под вашей учетной записью, откройте страницу истории безопасности и проверьте журналы входов.