GitHub, account violati con credenziali recuperate da altri servizi

GitHub, account violati con credenziali recuperate da altri servizi

Il 14 giugno GitHub ha subito numerosi tentativi di intrusione da parte di un attaccante in possesso di combinazioni di e-mail e password recuperate dalla violazione di altri servizi online

di pubblicata il , alle 17:01 nel canale Sicurezza
 

Lo scorso 14 giugno qualcuno in possesso di una lista di indirizzi e-mail e password ottenuti dalla compromissione di vari servizi online ha compiuto un massiccio numero di tentativi di login al servizio GitHub. Gli amministratori del servizio hanno controllato i log dei tentativi d'accesso, individuando come l'attaccante sia riuscito ad ottenere l'accesso ad una serie di account.

Non è possibile sapere quale sia stata la fonte delle combinazioni di e-mail e password, ma vi è ovviamente una grande probabilità che nei meandri della rete vi siano in questo momento molte credenziali di account recuperate dalle violazioni dei database di MySpace, Tumblr, LinkedIn e Fling avvenute negli scorsi mesi, per un totale di oltre 642 milioni di account. Sebbene molti di essi risalgano anche a più di tre anni fa, vi è la possibilità che siano ancora utilizzati da utenti GitHub.

Shawn Davenport, VicePresident of Security per GitHub, ha comunicato che le password degli account a cui l'attaccante ha potuto accedere sono già state resettate e che i singoli utenti interessati sono stati contattati individualmente fornendo istruzioni per effettuare il recupero dell'account. GitHub ha inoltre sensibilizzato tutti gli utenti del servizio di abilitare l'autenticazione a due fattori e di compiere una revisione della password, indicando un fumetto xkcd che spiega quale principi seguire per creare una password robusta.

Davenport non ha precisato nel suo intervento sul blog se l'attacco è stato portato tramite il sito web o mediante le API GitHub. Non è chiaro inoltre quale sia il numero degli account compromessi, anche se pare non vi sia stata una perdita di dati e informazioni. Ovviamente, però, le informazioni e dati degli account violati potrebbero essere state trafugate.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
manowar8417 Giugno 2016, 17:59 #1
è successo anche a me... nel giro di due gg sia github che bitbucket...
pingalep18 Giugno 2016, 11:59 #2
io ho un file zippao con password con txt con tutte le password. mi consigliano keepass. è possibile impostare un chiave password fisica per la password principale?

cmq vi raccnto l'aneddoto. è già la seconda volta che ebay non mi riconosce la passord alfanumerica complessa. da più browser e computer. allora la aggiorno mediante loro procedura. quando si tratta di inserire la nuova password incollo la vecchia e mi dice che non posso perchè la nuova password non può essere identica alla vecchia....sono lerisposte che fanno andare avanti il mercato dei mouse, perchè non puoi far latro che lanciarli dalla finestra per evitare di farlo col monitor
gerko18 Giugno 2016, 23:41 #3
Interessante quel fumetto, e per quanto ne so potrebbe pure avere ragione, il fatto è che quando imposti una password chiedono almeno una lettera minuscola, almeno una lettera maiuscola, almeno un simbolo, almeno un numero, almeno mia nonna in cariola e un disegno ritratto di se stessi autografato...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^