نفوذ به حساب‌های GitHub در حملات مداوم جست‌وجوی فراگیر

کاربران گیت‌هاب باید گذرواژه‌ پیچیده‌تری برای خود انتخاب کنند و در اولین فرصت احراز هویت دو مرحله‌ای را برای حساب کاربری خود فعال نمایند تا از شر حملات جست‌وجوی فراگیر خودکار در امان باشند.

چندین روز است که حملات این‌چنینی کاربران گیت‌هاب را درگیر خود کرده است. تاکنون شماری از حساب‌های کاربری که دارای گذرواژه‌های ضعیفی بودند مورد نفوذ قرار گرفته‌اند. خبر خوب برای کاربران آسیب‌دیده این است که گیت‌هاب گذرواژه‌های آن‌ها را بازنشانی نموده و توکن‌های دسترسی، مجوزهای Oauth و کلیدهای SSH آن‌ها را باطل کرده است.

در حال حاضر تحقیقاتی در این رابطه در جریان است و در صورت کشف هرگونه فعالیت غیرمجازِ مرتبط با کد منبع و یا اطلاعات حساس حساب‌های کاربری، مراتب امر به کاربران ارجاع داده خواهد شد. گفتنی است که حساب‌های برخی از کاربران با وجود دارا بودن گذرواژه‌ی قوی تنظیم مجدد شده، زیرا فعالیت‌های انجام‌شده در این حساب‌ها بیان‌گر ورود به سامانه از طریق یک سری آدرس‌های IP خاص مرتبط با این رخداد نوظهور بوده است.

اگرچه گیت‌هاب به شدت روی تلاش‌های صورت‌گرفته برای ورود به سامانه نظارت داشته و آن را محدود می‌کند و نیز گذرواژه‌ها را به درستی ذخیره می‌نماید، در این واقعه بیش از ۴۰،۰۰۰ آدرس IP منحصربه‌فرد به کار گرفته شده است. این آدرس‌ها برای انجام جست‌وجوی فراگیر آهسته و پیوسته بر روی گذرواژه‌های ضعیف یا گذرواژه‌های استفاده‌شده در وب‌گاه‌های مختلف به کار رفته‌اند.

ظاهراً کارشناسان گیت‌هاب در صدد وضع محدودیت‌های بیشتر برای رسیدگی به این موضوع هستند.

کاربرانی که در Hacker News به اظهار نظر پرداخته‌اند بیان داشتند که اطلاعیه‌ی تلاش‌های ناموفق برای ورود به سامانه توسط آدرس‌های IP متعلق به چین، اندونزی، ونزوئلا، اکوادور و … به دست آن‌‌ها رسیده است. یکی از نظردهندگان که ظاهراً در گیت‌هاب مشغول به کار است می‌گوید که گیت‌هاب فهرست مرگ‌باری از گذرواژه‌های رمزگشایی‌شده‌ی معروف را به همراه یک سری از واژه‌های پرکاربرد زبان انگلیسی منتشر نموده و کاربرانی را که گذرواژه‌های آن‌ها در فهرست رمزهای عبور نقض ادوبی وجود داشته وادار به بازنشانی کرده است.

این فرد در نظرات خود بیان داشته:‌ «ما اسکریپیتی نوشته‌ایم که این گذرواژه‌ها را به رشته‌های درهم تبدیل می‌کند، سپس نتیجه‌ را با مقادیر رشته‌‌های درهم ذخیره‌شده مقایسه می‌کند. قصد ما این است که حساب کاربران را با این «واژه‌نامه» بسنجیم، آن‌گاه حساب مربوط به کاربری را که گذرواژه‌ی وی در این واژه‌نامه پیدا شود مسدود کنیم و او را وادار به تغییر گذرواژه‌ نماییم. ما سیاست‌های مربوط به گذرواژه‌ را با هدف هرچه پیچیده‌تر کردن آن تغییر داده و امکان انتخاب گذرواژه‌های موجود در این واژه‌نامه‌ی تهیه‌شده و فهرست رمزگشایی‌شده را از میان برده‌ایم. همچنین به کاربران هشدار داده‌ایم که باید هر ۲۸ روز یک‌بار گذرواژه‌ی خود را عوض کنند و هفت گذرواژه‌ی درهم‌سازی‌شده‌ی آخر را نزد خود نگه‌دارند تا هرگز از آن گذرواژه‌ها استفاده‌ی مجدد ننمایند.»

آن‌طور که به نظر می‌رسد گیت‌هاب دیگر به کاربران اجازه نمی‌دهد با گذرواژه‌های ضعیف و متداول وارد سامانه شوند، اما مشخص نیست که آیا در حال حاضر چنین چیزی رعایت می‌شود یا خیر.

ملزومات کنونی، مانند استفاده از دست کم حرف کوچک، یک نویسه‌ی عددی، و هفت نویسه‌ برای انتخاب گذرواژه‌ی قوی و پیچیده کافی به نظر نمی‌رسد. اما راه بهتری هم پیش روی کاربران وجود دارد؛ آن‌ها می‌توانند از گزینه‌ی احراز هویت دو مرحله‌ای استفاده کنند، این روی‌کرد حملات جست‌وجوی فراگیر را غیرممکن می‌سازد، مگر در شرایطی که مهاجمان به تلفن همراه کاربر و یا کد بازیابی حساب کاربری وی دسترسی داشته باشند.

اگر یکی از کاربران گیت‌هاب هستید و می‌خواهید ببینید که آیا مهاجمان تلاشی برای نفوذ به حساب کاربری شما کرده‌اند یا خیر، می‌توانید به صفحه‌ی Security History رفته و گزار‌ش‌های ورود به سامانه را بررسی کنید.