Hlavní navigace

Útok na GitHub využil úniků hesel z jiných služeb

Daniel Dočekal

Je to praktický příklad toho, jak nebezpečné jsou úniky hesel z online služeb, pokud provozovatelé i uživatelé ignorují možné následky.

Minulé úterý 14. června GitHub zaregistroval snahy o přihlášení na velké množství účtů s využitím hesel uniklých v některých z předchozích úniků. Podstatné na tom je i to, že zdrojem přihlašovacích údajů nebyl únik hesel přímo z GitHubu, ale prostý automatizovaný útok, který vzal e-maily a hesla z jiných úniků a zkoušel, jestli nepasují také k účtu na GitHubu. 

A ještě podstatnější je, že se útočníkům podařilo do řady účtů dostat.

GitHub o incidentu informoval v GitHub Security Update: Reused password attack. Napadeným účtům museli resetnout hesla a snažili se je kontaktovat. A zdůrazňují to, co by všichni už dávno měli vědět, zejména pokud jde o vývojáře používající GitHub: nutnost používat silná hesla (a mít je jedinečná) a všude, kde je to podstatné, mít dvoufaktorové ověření.

Materiálu na zkoušení je dostatek, kompletní „nabídka“ e-mailů a hesel čítá stovky milionů (přesněji přes 600 milionů) párů, včetně těch „novějších“ v podobě MySpace, Tumblru a LinkedIn. 

Jakkoliv jde v řadě případů o úniky hesel staré tři a více let, útok na GitHub ukazuje, že lidé používají stále stejná hesla dlouhé roky. A hlavně, že stále stejná hesla používají na více webech.

Pokud tedy ještě stále ignorujete to, že zrovna váš e-mail a heslo jsou v některém úniku, je možná jen otázka času, než přijdete o další účty, kde jste ponechali totéž heslo. 

Našli jste v článku chybu?

20. 6. 2016 19:39

s alibismem souhlas, správce hesel je jen dočasné řešení, cesta je úplně zrušit hesla.

HTTP digest se nikdy nezačal moc používat, protože žádný prohlížeč ho neměl uživatelsky naimplementovaný, nebyl jednoduše konfigurovatelný a zaháčkování md5 byla brzda už i v počátcích, nic novějšího nikdy nevzniklo.

Obecně mi vyhovuje způsob, kdy mi autorizaci potvrdí jiná pro mě důvěryhodná služba. V praxi třeba přihlášení přes oauth, kdy nemusím zadávat heslo. Nebo stejně jako u Applu, kdy nové zařízení v…

21. 6. 2016 1:06

K úplně prvnímu přihlášení nějaké heslo potřebujete – když si budete zakládat svůj první e-mail, nemůžete použít autorizaci přes dokaz v e-mailu.

To, že je HTTP digest implementovaný v prohlížečích různými způsoby na škále od špatné až po hrůzostrašné, že k tomu neexistuje podpora pro registraci a že to nepoužívá novější algoritmy než MD5 je právě chyba tvůrců prohlížečů. Princip je známý a jednoduchý, jediný „problém“ je trošku to zmodernizovat a hlavně implementovat. Navíc by tím odpadly všec…

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Bižuterie tisícinásobně překračuje povolené limity

Bižuterie tisícinásobně překračuje povolené limity

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: Velká cena v Abú Dhabí: 131 ti­síc diváků

Velká cena v Abú Dhabí: 131 ti­síc diváků

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy