11月19日に、公式のGitHubブログに、弱いパスワードを使用する一部のユーザーアカウントが侵害されたというエントリが掲載されました。
管理者は、2要素認証と複雑なパスワードの使用を推奨しています。
パスワードが侵害されたアカウントの電子メールには、さらなるアクションの指示が既に送信されており、リポジトリへのアクセストークンはリセットされ、OAuthおよびSSHキーも無効化されています。
Sean Davenportによると、検索は約40,000の一意のIPアドレスから行われ、ボットネットネットワークが使用されたようです。 GitHubは、パスワードハッシュにbcryptアルゴリズムを使用します。これにより、ブルートフォース攻撃の効果が低下します。このアルゴリズムだけでは、パスワードの暗号化に多くの時間が必要になるためです。
攻撃に関連して、アカウントの入力頻度とパスワードの複雑さに関していくつかの制限が導入されました。 さらに、リポジトリのグローバルな変更を分析し、変更を所有者に通知するユーザーアクティビティ監視システムが導入されました。 ハッキングされたアカウントの正確な数は明らかにされていません。
検索が実行されたパスワードのリスト:
Password1, Password123, Qwerty123, access14, admin123, bond007, letmein, pa55w0rd, passw0rd, password1, password123 .
複雑なパスワードを使用してください、紳士。