Наскоро популярното хранилище за програмен код GitHub бе атакувано посредством мащабна brute-force атака целяща разкриването на паролите на потребителите, вследствие на което няколко акаунта бяха компрометирани.За това
съобщи лично отговорникът по сигурността на хранилището Шон Девънпорт в публикация в блога на компанията: "Изпратихме имейли на засегнатите потребители, за да ги уведомим, че акаунтте им са компрометирани и да им кажем как да процедират по-нататък", пише той, допълвайки, че паролите им са били променени, както и личните им токени за достъп, техните OAuth оторизации и SSH ключовете - изтеглени обратно.Отделно от това, потребителите са били посъветвани да прегледат съдържанието на Security History страницата си за настъпили наскоро промени в хранилищата им или осъществени неуспешни опити за влизане в акаунтите им, а освен това им е било казано да включат двуфакторната оторизация. GitHub съхранява паролите на потребителите си посредством bcrypt и ограничава броят на логин опитите, за да предотврати случаен човек да налучка паролата на някой потребител и да влезе в акаунта му. В този случай обаче са използвани почти 40 000 интернет протокол адреси за бавна атака посредством brute-force за разбиване на "слаби" пароли и такива, които потребителите са ползвали на множество сайтове.Това действие предполага, че хората атакували паролите вероятно разполагат със списъци с имена и пароли, които са станали тяхно притежание от други сайтове и са успели да разбият някои пароли в хранилището посредством ботнет.Точният брой на откраднатите пароли не е известен. Дейвънпорт обяснява пред Infoworld, че поради мерки за допълнителна сигурност, хората от хранилището са рестартирали и акаунти със "силни" пароли, тъй като от тези акаунти е засечена дейност от IP-тата замесени в атаката. Този инцидент е накарал отговорните фактори в GitHub да въведат допълнителни мерки за сигурност, като една от тях е задължителното изискване потребителите на хранилището да не ползват вече "популярни слаби пароли", което вероятно означава, че ако имате регистрация там и използвате "слаба" парола, може да получите съобщение да я смените със "силна".Въпреки предупреждението за използването на силна парола при регистрация обаче, ограниченията все още не са особено затегнати сякаш, имайки предвид, че успях да се регистрирам с пароли като john777 и mary666.
