The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах"  +/
Сообщение от opennews (??), 27-Май-22, 18:59 
Компания GitHub опубликовала результаты разбора атаки, в результате которой 12 апреля злоумышленники получили доступ к облачным окружениям в сервисе Amazon AWS, используемым в инфраструктуре проекта NPM. Анализ  инцидента показал, что атакующие получили доступ к резервным копиям хоста skimdb.npmjs.com и в том числе к резервной копии БД с учётными данными примерно 100 тысяч пользователей NPM по состоянию на 2015 год, включающим хэши паролей, имена и email...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57263

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +2 +/
Сообщение от Аноним (1), 27-Май-22, 18:59 
>Атака была совершена 12 апреля с использованием украденных токенов OAuth

OAuth сказала: - Поехали.

Ответить | Правка | Наверх | Cообщить модератору

4. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +4 +/
Сообщение от Аноним (4), 27-Май-22, 19:07 
Мы ещё описаемся, когда окажется, что кому-то из накоммитивших сменят симку.
Ответить | Правка | Наверх | Cообщить модератору

25. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Аноним (-), 28-Май-22, 11:19 
Точнее загонят этот номер через левый гейт. И все herokuapp'нется немного в i++'й раз.
Ответить | Правка | Наверх | Cообщить модератору

8. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Аноним (8), 27-Май-22, 19:48 
> GitHub разработчики не обеспечили вырезание конфиденциальной информации из помещаемых в лог запросов

Всё, что надо знать о компетентности гитхаб.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

22. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  –2 +/
Сообщение от Аноним (22), 28-Май-22, 06:31 
Принимают решения обычно на высоком уровне, а понимают проблему на низком.
Все о чем тут можно говорить, так это только о хреновой двухсторонней связи.
Начальники считают себя умными (как обычно) и не считают важным и нужным поговорить со специалистами.

Как обычно в Microsoft одна нога не знает где другая, а в результате все тело упало.
Обынчый рассинзрон...

Ответить | Правка | Наверх | Cообщить модератору

27. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от InuYasha (??), 28-Май-22, 15:05 
Скорее уж так: управляющие на публику говорят "мы обезличим все данные", а приказ не выписывают. И на все "давайте мы сделаем/сделали и готовы выкатить" включают тормоза. Если не понятно, то всё это делается специально. В итоге - данные остаются, а когда случится проjб - виноваты программисты, админы и бюрократы.
Ответить | Правка | Наверх | Cообщить модератору

31. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Атон (?), 31-Май-22, 07:05 
> Как обычно в Microsoft одна нога не знает где другая, а в результате все тело упало.

При чем тут микрософт?

>>> Microsoft is acquiring GitHub   June 4, 2018
>> пользователей NPM по состоянию на 2015 год
>> украденных токенов OAuth, сгенерированных для двух сторонних GitHub-интеграторов - Heroku и Travis-CI.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

2. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  –10 +/
Сообщение от Корец (?), 27-Май-22, 19:04 
Когда уже начнут выбрасывать поддержку парольной авторизации повсеместно и вместо неё использовать авторизацию по ключу?
Ответить | Правка | Наверх | Cообщить модератору

5. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +11 +/
Сообщение от пох. (?), 27-Май-22, 19:24 
Уже. OAuth - это вот ключ такой. Наслаждайся результатами.

А от сп-ных хэшей паролей - что характерно, толку сп-вшим - никакого. Вот и думай, если еще есть, чем. Хотя, куда тебе...


Ответить | Правка | Наверх | Cообщить модератору

15. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Корец (?), 27-Май-22, 21:34 
>Наслаждайся результатами.

Так уже.

>Вот и думай, если еще есть, чем. Хотя, куда тебе...

До тебя? Действительно...

Ответить | Правка | Наверх | Cообщить модератору

29. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от КО (?), 28-Май-22, 16:10 
Аргумент конечно же железный, я аж прослезился.
Ответить | Правка | Наверх | Cообщить модератору

3. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  –1 +/
Сообщение от Аноним (4), 27-Май-22, 19:05 
Чё, пацаны, девляпс? Децентрализованый гитхап? Удобные язычки с удобными пакетными менеджерами?
Ответить | Правка | Наверх | Cообщить модератору

6. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +1 +/
Сообщение от пох. (?), 27-Май-22, 19:26 
Да, опять проклятая microsoft во всем виновата.

Ой, а кто ж это прогадил токены и писал в логи пароли? Ну все равно виновата microsoft - она ж корпорация, зла! Как тут перепутаешь.

В конце-концов, могла бы просто сделать вид что не заметила.

Ответить | Правка | Наверх | Cообщить модератору

7. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +2 +/
Сообщение от Аноним (7), 27-Май-22, 19:37 
Хе, ну надо же, они наконец то узнали, что резервные копии нужно защищать так же как прод, а то и лучше.


Ответить | Правка | Наверх | Cообщить модератору

9. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +1 +/
Сообщение от Аноним (9), 27-Май-22, 20:09 
Ну атака не простая, тут не фишинг и не сторонний левый сервис.
Скроее выглядит как небезопасное стечение обстоятельств, где атакующие
смогли шаг за шагом пройти квест до получения доступа к S3.

Не написано как был получен начальный доступ к хосту с бекапами.
То что с марта включили 2фа их спасло видимо от большего фейла.

Ответить | Правка | Наверх | Cообщить модератору

11. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Аноним (11), 27-Май-22, 20:12 
Просто они знали что их процессы отстой. И заранее решили сделать 2фа.
Ответить | Правка | Наверх | Cообщить модератору

20. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Kuromi (ok), 28-Май-22, 03:59 
Не, 2FA они решили навязать всем потому что им надоели прохладные истории вида "Обнаружили очередную пачку вредоносных изменений в пакетах Х Y Z, оказалось что аккаунты разработчиков взломали так как там был пароль "password"".
Ответить | Правка | Наверх | Cообщить модератору

12. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +1 +/
Сообщение от Без аргументов (?), 27-Май-22, 20:50 
Когда-нить кто-нить удалит этот NPM вместе с бэкапами или нет?
Ответить | Правка | Наверх | Cообщить модератору

13. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Без аргументов (?), 27-Май-22, 20:51 
А то файловая запись занимает больше места на диске, чем содержится кода в содержимом пакетов.
Ответить | Правка | Наверх | Cообщить модератору

14. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от FSA (??), 27-Май-22, 21:29 
> А то файловая запись занимает больше места на диске, чем содержится кода в содержимом пакетов.

Реально насмешил :) Я когда на код некоторых пакетов смотрел именно так и думал.

Ответить | Правка | Наверх | Cообщить модератору

16. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  –2 +/
Сообщение от пох. (?), 27-Май-22, 23:11 
>> А то файловая запись занимает больше места на диске, чем содержится кода в содержимом пакетов.
> Реально насмешил :) Я когда на код некоторых пакетов смотрел именно так
> и думал.

зато у лефтпада три миллиона скачиваний! А чего добился в жизни ты?!

Ответить | Правка | Наверх | Cообщить модератору

17. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +2 +/
Сообщение от Без аргументов (?), 28-Май-22, 01:35 
А у чикатило вообще мировая известность, и чё?
Ответить | Правка | Наверх | Cообщить модератору

26. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +/
Сообщение от Аноним (26), 28-Май-22, 12:29 
>во внутренних логах в открытом виде сохранялись пароли некоторых пользователей NPM, а также токены доступа к NPM.

Вот именно поэтому надо использовать https://cfrg.github.io/draft-irtf-cfrg-opaque/draft-irtf-cfr...

Ответить | Правка | Наверх | Cообщить модератору

28. "GitHub раскрыл данные о взломе инфраструктуры NPM и выявлени..."  +1 +/
Сообщение от InuYasha (??), 28-Май-22, 15:07 
Да горел бы уже этот NPM синем пламенем!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру