Администрация GitHub предупреждает пользователей, что в минувший вторник, 14 июня 2016 года, неизвестные злоумышленники попытались брутфорсом взломать «большое количество» аккаунтов ресурса. Точное число пострадавших учетных записей не разглашается. Руководство сервиса приняло решение сбросить пароли для всех аккаунтов, которые затронула атака.
Официальное сообщение, гласит, что GitHub не был взломан или скомпрометирован. Администрация ресурса предполагает, что атака являлась результатом крупных утечек данных, которых за последний месяц насчитывается просто рекордное количество. Злоумышленники попытались захватить контроль над аккаунтами, перебирая комбинации разных логинов и паролей. Так как многие пользователи используют одинаковые учетные данные на разных сайтах, в ряде случаев тактика сработала.
Напомню, что в интернет за последние недели утекли данные о 117 млн учетных записей LinkedIn, 360 млн аккаунтов Myspace, 65 млн аккаунтов Tumblr, более 100 млн аккаунтов «ВКонтакте», почти 33 млн аккаунтов Twitter и так далее. Очевидно, кому-то эти сливы информации показались неплохим поводом для составления актуальной базы логинов и паролей для брутфорса и реализации атаки.
Администрация GitHub пишет, что компрометации подверглись только логины и пароли некоторых пользователей. В отдельных случаях также могли быть раскрыты данные о доступных репозиториях и организациях. Согласно официальному сообщению об инциденте, пароли от аккаунтов пострадавших уже были обнулены.
В заключение GitHub рекомендует пользователям соблюдать «парольную гигиену» и по возможности использовать двухфакторную аутентификацию.