شماره: IRCNE2013112025
تاريخ:02/09/92
اخيرا خدمات GitHub يكي از محبوبترين مخزن هاي كد منبع، هدف حملات brute-force قرار گرفته است. در اين حملات برخي از حساب هاي كاربري افشاء شده است.
شاون داونپورت، مهندس امنيت GitHub در پست وبلاگي نوشت: ما پيام هايي را براي كساني كه حساب هاي كاربري آن ها مورد حمله قرار گرفته است ارسال كرديم تا آن ها را از اين قضيه مطلع سازيم. رمزهاي عبور اين افراد تغيير داده شد و توكن هاي دسترسي خصوصي، تفويض اختيار OAuth و كليدهاي SSH همگي باطل شده است.
به كاربران توصيه مي شود تا صفحه Security History حساب كاربري خود را براي تغييرات احتمالي بررسي نمايند و هم چنين احراز هويت دو مرحله اي را فعال نمايند.
داونپورت گفت: GitHub رمزهاي عبور را با استفاده از تابع bcrypt و به صورت امن ذخيره مي كند و هم چنين از مكانيزمي استفاده مي كند تا بتواند جلوي حملات حدس زدن رمز عبور را بگيرد. با اين وجود در حمله اخير براي حدس زدن رمزهاي عبور ضعيف يا رمزهاي عبوري كه در چندين سايت به كار برده مي شود،از 40000 آدرس IP واحد استفاده شده است.
اين امكان وجود دارد كه مهاجمان با استفاده از نام هاي كاربري و رمز عبور افشاء شده از وب سايت هاي ديگر، خدمات GitHub را هدف حمله قرار داده اند.
تعداد دقيق حساب هاي كاربري GitHub كه بايد رمز عبور آن ها تغيير يابد مشخص نشده است. Github قصد دارد تا محدوديت هاي بيشتري را پياده سازي نمايد و به كاربران اجازه ندهد تا از رمزهاي عبور ضعيف و متداول استفاده نمايند. در حال حاضر صفحه ورود به GitHub از كاربران مي خواهد تا رمز عبور آن ها حداقل 7 كاراكتر داشته و حداقل يك حرف بزرگ يا يك عدد در آن استفاده شود.
- 2