Hlavní navigace

Útok na GitHub využil úniků hesel z jiných služeb

Daniel Dočekal

Je to praktický příklad toho, jak nebezpečné jsou úniky hesel z online služeb, pokud provozovatelé i uživatelé ignorují možné následky.

Minulé úterý 14. června GitHub zaregistroval snahy o přihlášení na velké množství účtů s využitím hesel uniklých v některých z předchozích úniků. Podstatné na tom je i to, že zdrojem přihlašovacích údajů nebyl únik hesel přímo z GitHubu, ale prostý automatizovaný útok, který vzal e-maily a hesla z jiných úniků a zkoušel, jestli nepasují také k účtu na GitHubu. 

A ještě podstatnější je, že se útočníkům podařilo do řady účtů dostat.

GitHub o incidentu informoval v GitHub Security Update: Reused password attack. Napadeným účtům museli resetnout hesla a snažili se je kontaktovat. A zdůrazňují to, co by všichni už dávno měli vědět, zejména pokud jde o vývojáře používající GitHub: nutnost používat silná hesla (a mít je jedinečná) a všude, kde je to podstatné, mít dvoufaktorové ověření.

Materiálu na zkoušení je dostatek, kompletní „nabídka“ e-mailů a hesel čítá stovky milionů (přesněji přes 600 milionů) párů, včetně těch „novějších“ v podobě MySpace, Tumblru a LinkedIn. 

test 3

Jakkoliv jde v řadě případů o úniky hesel staré tři a více let, útok na GitHub ukazuje, že lidé používají stále stejná hesla dlouhé roky. A hlavně, že stále stejná hesla používají na více webech.

Pokud tedy ještě stále ignorujete to, že zrovna váš e-mail a heslo jsou v některém úniku, je možná jen otázka času, než přijdete o další účty, kde jste ponechali totéž heslo. 

Našli jste v článku chybu?
20. 6. 2016 19:39

s alibismem souhlas, správce hesel je jen dočasné řešení, cesta je úplně zrušit hesla.

HTTP digest se nikdy nezačal moc používat, protože žádný prohlížeč ho neměl uživatelsky naimplementovaný, nebyl jednoduše konfigurovatelný a zaháčkování md5 byla brzda už i v počátcích, nic novějšího nikdy nevzniklo.

Obecně mi vyhovuje způsob, kdy mi autorizaci potvrdí jiná pro mě důvěryhodná služba. V praxi třeba přihlášení přes oauth, kdy nemusím zadávat heslo. Nebo stejně jako u Applu, kdy nové zařízení v…

21. 6. 2016 1:06

K úplně prvnímu přihlášení nějaké heslo potřebujete – když si budete zakládat svůj první e-mail, nemůžete použít autorizaci přes dokaz v e-mailu.

To, že je HTTP digest implementovaný v prohlížečích různými způsoby na škále od špatné až po hrůzostrašné, že k tomu neexistuje podpora pro registraci a že to nepoužívá novější algoritmy než MD5 je právě chyba tvůrců prohlížečů. Princip je známý a jednoduchý, jediný „problém“ je trošku to zmodernizovat a hlavně implementovat. Navíc by tím odpadly všec…