Брутфорс атака на GitHub

    image
    19 ноября в официальном блоге GitHub появилась запись в которой было сказано о том, что были скомпрометированы некоторые учетные записи пользователей использующих слабые пароли.
    Администрация призывает использовать двухфакторную авторизацию и сложные пароли.

    На e-mail'ы учетных записей чьи пароли были скомпрометированы уже высланы инструкции по дальнейшим действиям, сброшены токены доступа к репозиториям, OAuth и SSH ключи также нейтрализованы.
    Как сообщает Шон Дэвенпорт, перебор шёл примерно с 40000 уникальных IP адресов, судя по всему использовалась ботнет сеть. В GitHub для хеширования паролей используется алгоритм bcrypt, что делает атаку перебором менее эффективной, так как данный алгоритм сам по себе требует много времени для шифрования пароля.

    В связи с атакой были введены некоторые ограничения касаемые частоты входа в аккаунт и сложности пароля. Кроме этого, введена система мониторинга активности пользователей, которая анализирует глобальные изменения в репозиториях и уведомляет владельцев о проделанных изменениях. Точное число взломанных аккаунтов не разглашается.

    Список паролей на которые выполнялся перебор:
    Password1, Password123, Qwerty123, access14, admin123, bond007, letmein, pa55w0rd, passw0rd, password1, password123 и подобные.

    Используйте сложные пароли, господа.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 28

    • UFO just landed and posted this here
        +2
        Врятли все «люди с такими паролями» — программисты. Наверняка там много обычных пользователей зашедших посмотреть что есть что.
          +2
          Ну не совсем. На GitHub начали сидеть как ученые, так и писатели. Они через гит книги пишут.
      0
      я думал самым популярным будет — GitHubPassword
        +17
        Какой у вас email, говорите?
          +7
          GitHubPassword@gmail.com, пароль не скажу.
          0
          ну или 8 звездочек :)
          +1
          Хорошая реклама. Срочно переходим с md5 на bcrypt (он медленнее шифруется).
          Кстати, мне кажется, полезно поставить рандомную паузу с серверной стороны перед ответом о том, что пароль подошёл или нет. Так перебирать придётся дольше.
            +1
            Это не поможет в случае кражи бд с хэшами…
            0
            Эмм, я недопонял, откуда им известны перебираемые пароли, они их что, логируют что ли?
              0
              Может по радужным таблицам не обломались проверить
                +1
                Логируют, наверняка, неудачные попытки аутентификации. Соответственно, увидили всплеск таких попыток, подняли логи и сдедали вывод о брутфорс-атаке.
                  0
                  Все равно это брешь в защите! А что, если я по ошибке/запарке введу пароль от своей почты, а потом эти логи кто-нибудь почитает?
                    0
                    А если там посолённые bcrypt и хранятся они только сутки?
                      +1
                      Если Вы параноик, то давно поставили себе 1Password или его аналог и не вводите пароли руками и даже не придумываете их, а генерируете. Брешью в защите это назвать сложно – тут скорее Ваша невнимательность. _Всё_, что Вы отправляете в сеть, навсегда остается здесь. Если не в логах гитхаба, то в логах провайдера или ещё кого-то, помните об этом, нажимая Enter в окне браузера.

                      И, если по хорошему, Вы представляете себе что такое «почитать логи гитхаба», даже предположив, что у Вас появился чудесным образом доступ к ним?
                        0
                        для случая с поисковиками и поисковой строкой того же github, даже нажатия на enter не потребуется.
                          0
                          Это именно брешь в защите. По сети пароль отправляется в защищённом виде, провайдер его не знает. А наличие в итоге пароля в открытом виде с доступом для чтения кому попало (анализировать его должны же) — огромнейшая уязвимость.

                          Почитать логи — именно что прекрасно представляю. Руками практически ничего делать не надо — всё анализируется существующими скриптами, в худшем случае — с десяток тысяч строк просмотреть и выбрать наиболее интересное, что уже потом внимательнее изучать.
                      0
                      В логах вестимо.
                        0
                        То есть в логи пишутся непрошедшие пароли?

                        Миллионы благодарных легальных пользователей, чей длинный сложный пароль отличается лишь числом или символом на конце, очень рады.
                    • UFO just landed and posted this here
                        +1
                        «От излишней осторожности мы сбросили пароль некоторым пользователям с хорошими паролями, потому что к их учётным записям обращались с IP-адресов, задействованных в инциденте».
                        • UFO just landed and posted this here
                          • UFO just landed and posted this here
                          0
                          Да, мне тоже пришло письмо, хотя пароль из рандомных больших/маленьких букв и цифр.
                          +3
                          Не знал что на гитхабе есть двухфакторная авторизация. Автору спасибо! Сразу включил.
                            0
                            Причем здесь bcrypt и брутфорс?)

                            В форму вводится пароль, в API тоже есть basic аутентификация. Почему сложность атаки в данном случае зависит от алгоритма хэширования пароля?
                              0
                              В теме написано, что долго работает. Думаю правильней было, после например 3 не удачные попыток авторизироваться, увеличивать timeout ответа либо вообще блокировать на минуту (+ неверное количество входов) аккаунт.

                            Only users with full accounts can post comments. Log in, please.