Комментарии 12
Администраторы Packagist сообщили, что во всех учётных записях, управлявших скомпрометированными пакетами, разработчиками использовались простые для подбора пароли без включения двухфакторной аутентификации
Как они узнали, какие там пароли были? В базе посмотрели что ли?
давайте думать что забрутфорсили 14 наборов hash+salt. Если пароли правда простые, то все быстро переберутся
Со стороны статистики - самый вероятный вариант. Но только одним перебором рекламу себе не сделаешь, имхо. Разве что он нашел незащищенный от брута endpoint (то, ради чего уже можно писать маленький write up). А если бы была полная уязвимость и он на ней теперь сидит - уже оочень неэтично получается.
А хеши добыть это так, погулять сходить?
Сравнили хэши с хэшами исвестных простых паролей.
PHP-разработчики издавна славятся бережным отношением к безопасности. По статистике, 80% взломанных сайтов написаны на PHP.
"А извините, тогда с вашего рабочего стола я свое резюме удалю сейчас"
Исследователь изменил файл composer.json 14 PHP-библиотек в репозитории Packagist в попытке найти работу