Исследователь изменил файл composer.json 14 PHP-библиотек в репозитории Packagist в попытке найти работу

[bromzh]

Администраторы Packagist сообщили, что во всех учётных записях, управлявших скомпрометированными пакетами, разработчиками использовались простые для подбора пароли без включения двухфакторной аутентификации

Как они узнали, какие там пароли были? В базе посмотрели что ли?

[Ksoo]

давайте думать что забрутфорсили 14 наборов hash+salt. Если пароли правда простые, то все быстро переберутся

[VADemon]

Со стороны статистики - самый вероятный вариант. Но только одним перебором рекламу себе не сделаешь, имхо. Разве что он нашел незащищенный от брута endpoint (то, ради чего уже можно писать маленький write up). А если бы была полная уязвимость и он на ней теперь сидит - уже оочень неэтично получается.

[LeetcodeMonkey]

А хеши добыть это так, погулять сходить?

[ven1999]

Сравнили хэши с хэшами исвестных простых паролей.

[Ksoo]

Хеши обычно с солью, поэтому надо брутить

[F6CF]

А соль куда дели?

[SerJook]

PHP-разработчики издавна славятся бережным отношением к безопасности. По статистике, 80% взломанных сайтов написаны на PHP.

[koreychenko]

По статистике 80% интернета написано на PHP, так что ничего удивительного :-)

А ну и да, если играем в статистику, то 99.9% взломанных сайтов использовали JavaScript.

[isden]

99.9% взломанных сайтов использовали JavaScript.

А 99.9999(9)% — HTML :)

[kompilainenn2]

"А извините, тогда с вашего рабочего стола я свое резюме удалю сейчас"

[ErkinPardayev]

Черт как вы туда оставили резюме? Он же не подключен к сети.