Брутфорс атака на GitHub

19 ноября в официальном блоге GitHub появилась запись ^[1] в которой было сказано о том, что были скомпрометированы некоторые учетные записи пользователей использующих слабые пароли.
Администрация призывает использовать двухфакторную авторизацию и сложные пароли.

На e-mail'ы учетных записей чьи пароли были скомпрометированы уже высланы инструкции по дальнейшим действиям, сброшены токены доступа к репозиториям, OAuth и SSH ключи также нейтрализованы.
Как сообщает Шон Дэвенпорт, перебор шёл примерно с 40000 уникальных IP адресов, судя по всему использовалась ботнет сеть. В GitHub для хеширования паролей используется алгоритм bcrypt ^[2], что делает атаку перебором менее эффективной, так как данный алгоритм сам по себе требует много времени для шифрования пароля.

В связи а атакой были введены некоторые ограничения касаемые частоты входа в аккаунт и сложности пароля. Кроме этого, введена система мониторинга активности пользователей, которая анализирует глобальные изменения в репозиториях и уведомляет владельцев о проделанных изменениях. Точное число взломанных аккаунтов не разглашается.

Список паролей на которые выполнялся перебор:
Password1, Password123, Qwerty123, access14, admin123, bond007, letmein, pa55w0rd, passw0rd, password1, password123 и подобные.

Используйте сложные пароли, господа.

Автор: akamajoris

Источник ^[3]