GitHub הותקף והזהיר: עברו לאימות דו-שלבי

חברת אחסון הקוד הפופולרית מזהירה משתמשים שעושים שימוש בסיסמאות גנריות ופשוטות לניחוש בעקבות מתקפת Brute Force בהיקף גדול על השרתים.

מקור: יח״צ

מקור: יח״צ

שירות אירוח הקוד הפופולרי GitHub, באמצעותו מפתחים רבים מאחסנים ומנהלים את קוד התוכנה שלהם, שלח אזהרה למשתמשים שבה הוא מפציר בהם להפעיל את אופציית האימות הדו-שלבי להגנה על החשבון, זאת כתוצאה מניסיון מוצלח של פריצה לחלק מהחשבונות אשר היו מוגנים בסיסמאות חלשות יחסית, באמצעות Brute Force (ניסיונות כניסה אוטומטיים לחשבונות שונים) שהופעל מכ-40 אלף מחשבים בעלי כתובת IP ייחודית.

ניסיון פריצה מ-40 אלף כתובות IP, בו זמנית

מנהל האבטחה ב-GitHub, שון דבנפורט (Shawn Davenport) כתב בפוסט בבלוג הרשמי של GitHub כי ההאקרים עשו שימוש בכתובות ה-IP הללו על מנת לאתר סיסמאות חלשות של חשבונות המשמשות את בעליהן במגוון אתרים. GitHub מצידה איפסה את כל הסיסמאות של החשבונות שנפרצו ושלחה להם מייל עם הוראות ליצירת סיסמא חדשה וחזקה יותר. כמו כן, בוטלו ה-Access Tokens, אישורי ה-OAuth, ומפתחות ה-SSH הקשורים לחשבונות שנפרצו.

ההתקפה הגיעה מספר שבועות לאחר פריצות נוספות שהתפרסמו באמצעי התקשורת, ביניהן אל Adobe, MacRumors, vBulletIn אשר חשפו מספר רב של שמות משתמש וסיסמאות לאתרים השונים. חלק גדול מהסיסמאות הללו שימשו בתור "Master Password״ לחלק גדול מהמשתמשים, כך שעם גילוי כתובת הדואר האלקטרונית, או שם המשתמש של החברה יכלו ההאקרים לנסות ולהזין את הנתונים הללו באתרים אחרים ולגנוב מידע רגיש גם משם.

כך תעברו לאימות דו שלבי

GitHub מספקת למשתמשיה את האפשרות להגדיר אימות דו-שלבי בכניסה לאתרם. כל מה שעליכם לעשות, הוא להיכנס לחשבון שלכם באתר GitHub, ללחוץ על אייקון ההגדרות בצד העליון הימני של המסך (Account Settings), לעבור ללשונית Account Settings בצד שמאל ולבחור ב-Set up two-factor authentication. לאחר ההגדרה, כאשר תנסו להיכנס לחשבון שלכם תיאלצו לאשר את הכניסה דרך אפליקציה ייעודית במכשיר הסמארטפון שלכם, או דרך הודעת SMS עם קוד חד פעמי.

מקור: צילום מסך

מקור: צילום מסך

המעבר לאימות דו שלבי מומלץ גם בשירותים מקוונים אחרים נוספים בהם אתם מאחסנים פרטים חיוניים. למרבה המזל, חברות כמו אפל, גוגל, מיקרוסופט, דרופבוקס, פייסבוק וטוויטר תומכות כולן באימות דו שלבי החל מהחודשים האחרונים, ובכל מקרה עדיף לא להשתמש בסיסמא אחת זהה עבור כל השירותים הללו, אלא להשתמש במנפיק סיסמאות ולרשום אותן בצד או בפתרון אוטומטי ונוח אחר כגון LastPass.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

1 תגובה on "GitHub הותקף והזהיר: עברו לאימות דו-שלבי"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
רון
Guest

התקפות BF מונעים על ידי קפצ'ה בנסיון השני

wpDiscuz

תגיות לכתבה: