14 июня была осуществлена массированная попытка взлома репозиториев на GitHub — похоже, с использованием базы адресов электронной почты и паролей, полученных в результате давних взломов других онлайн-сервисов. Согласно сообщению Шона Дэвенпорта, вице-президента по вопросам безопасности в GitHub, хакер получил доступ к ряду аккаунтов, пишет ArsTechnica.
Пока не ясно, что послужило источником множества комбинаций электронная почта/пароль. Но предполагается, что это могут быть недавно всплывшие щедрые «мегаутечки» старых паролей в MySpace, Tumblr, LinkedIn и сайта знакомств Fling, охватившие более 642 млн профилей.
Хотя это утечки как минимум трёхлетней давности, возможно, некоторые комбинации до сих пор использовались их владельцами на GitHub.
Дэвенпорт не сказал, велась ли атака через вебсайт или API. Он также не уточнил, какое число аккаунтов было поставлено под угрозу.
По словам Давенпорта, пароли учётных записей, к которым хакер получил доступ во время атаки, уже изменены. GitHub связался с каждым пострадавшим пользователем — с инструкциями о том, как вернуться в свой профиль.
Он также призвал пользователей GitHub включить двухфакторную аутентификацию и «соблюдать гигиену паролей», сопроводив последний пункт наглядным примером.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.