Minulé úterý 14. června GitHub zaregistroval snahy o přihlášení na velké množství účtů s využitím hesel uniklých v některých z předchozích úniků. Podstatné na tom je i to, že zdrojem přihlašovacích údajů nebyl únik hesel přímo z GitHubu, ale prostý automatizovaný útok, který vzal e-maily a hesla z jiných úniků a zkoušel, jestli nepasují také k účtu na GitHubu.
A ještě podstatnější je, že se útočníkům podařilo do řady účtů dostat.
GitHub o incidentu informoval v GitHub Security Update: Reused password attack. Napadeným účtům museli resetnout hesla a snažili se je kontaktovat. A zdůrazňují to, co by všichni už dávno měli vědět, zejména pokud jde o vývojáře používající GitHub: nutnost používat silná hesla (a mít je jedinečná) a všude, kde je to podstatné, mít dvoufaktorové ověření.
Materiálu na zkoušení je dostatek, kompletní „nabídka“ e-mailů a hesel čítá stovky milionů (přesněji přes 600 milionů) párů, včetně těch „novějších“ v podobě MySpace, Tumblru a LinkedIn.
Jakkoliv jde v řadě případů o úniky hesel staré tři a více let, útok na GitHub ukazuje, že lidé používají stále stejná hesla dlouhé roky. A hlavně, že stále stejná hesla používají na více webech.
Pokud tedy ještě stále ignorujete to, že zrovna váš e-mail a heslo jsou v některém úniku, je možná jen otázka času, než přijdete o další účty, kde jste ponechali totéž heslo.