GitHub proíbe senhas fracas após ataque de força bruta resulta em contas comprometidas

O popular repositório de código fonte GitHub foi recentemente atingido por um ataque de força bruta de adivinhação de senha, que teria comprometido com sucesso algumas contas.

“Nós enviamos um e-mail para os usuários com contas comprometidas para que eles saibam o que fazer”, o engenheiro de segurança da GitHub, Shawn Davenport disse em um post no blog . “Suas senhas foram redefinidas e fichas pessoais, autorizações de acesso OAuth e chaves SSH têm sido revogada.”

Os usuários foram aconselhados a rever página histórico de segurança do seu cliente para as mudanças recentes feitas nos repositórios ou não tentativas de log-in e ativar a autenticação de dois fatores.

GitHub armazena senhas de forma segura usando a função bcrypt e usa um limite de taxa de agressivo para log-in tentativas especificamente para bloquear ataques de adivinhação de senha, disse Davenport. No entanto, neste incidente recente quase 40.000 únicos endereços de Protocolo de Internet “foram usados ​​para forçar lentamente senhas fracas ou senhas usadas em vários sites.”

Isto sugere que os atacantes poderiam ter tomado listas de nomes de usuários e senhas que vazaram de outros sites e usou uma botnet para testá-los no GitHub.

A recente vazamento de dados da Adobe resultou em um arquivo com o log-in de 150 milhões de usuários sendo que vários vazaram na internet . As senhas nesse arquivo foram criptografados, mas os pesquisadores disseram que o método de criptografia usado pelo Adobe tornou possível para os atacantes.

O número exato de contas GitHub que tiveram sua senhas redefinidas não foi divulgado e GitHub não respondeu imediatamente a um inquérito pedindo esclarecimentos.

Fonte: