GitHub proíbe senhas fracas após ataque de força bruta resulta em contas comprometidas
O popular repositório de código fonte GitHub foi recentemente atingido por um ataque de força bruta de adivinhação de senha, que teria comprometido com sucesso algumas contas.
“Nós enviamos um e-mail para os usuários com contas comprometidas para que eles saibam o que fazer”, o engenheiro de segurança da GitHub, Shawn Davenport disse em um post no blog . “Suas senhas foram redefinidas e fichas pessoais, autorizações de acesso OAuth e chaves SSH têm sido revogada.”
Os usuários foram aconselhados a rever página histórico de segurança do seu cliente para as mudanças recentes feitas nos repositórios ou não tentativas de log-in e ativar a autenticação de dois fatores.
GitHub armazena senhas de forma segura usando a função bcrypt e usa um limite de taxa de agressivo para log-in tentativas especificamente para bloquear ataques de adivinhação de senha, disse Davenport. No entanto, neste incidente recente quase 40.000 únicos endereços de Protocolo de Internet “foram usados para forçar lentamente senhas fracas ou senhas usadas em vários sites.”
Isto sugere que os atacantes poderiam ter tomado listas de nomes de usuários e senhas que vazaram de outros sites e usou uma botnet para testá-los no GitHub.
A recente vazamento de dados da Adobe resultou em um arquivo com o log-in de 150 milhões de usuários sendo que vários vazaram na internet . As senhas nesse arquivo foram criptografados, mas os pesquisadores disseram que o método de criptografia usado pelo Adobe tornou possível para os atacantes.
O número exato de contas GitHub que tiveram sua senhas redefinidas não foi divulgado e GitHub não respondeu imediatamente a um inquérito pedindo esclarecimentos.
Fonte: