他サイト更新RSSぴぽぺ速報最新記事

GitHubにブルートフォース攻撃が仕掛けられ、安易なパスワードが破られる…

このエントリーをはてなブックマークに追加 LINEで送る

1: ( ´`ω´) ◆ChahooS3X2 @ちゃふーφ ★ 2013/11/21 16:44:30

ソフトウェア開発プロジェクト管理サービスのGitHubは11月19日、ユーザーのアカウントに対して総当たり方式でパスワード破りを試みるブルートフォース攻撃が仕掛けられ、一部の強度の弱いパスワードが破られたと発表した。

GitHubのブログによると、4万あまりのIPアドレスを使ったブルートフォース攻撃が仕掛けられ、 強度の弱いパスワードや複数のWebサイトで使い回されているパスワードが破られたという。

被害に遭ったユーザーにはメールで通知した上で、パスワードをリセットするとともに、アクセストークンとOAuth認証、SSH鍵を失効させる措置を取った。リセット後は強力なパスワードの設定が必要になる。

また、強力なパスワードを使っていたユーザーのアカウントの一部も、攻撃に使われたIPアドレスからログインされた形跡があったとして、慎重を期してリセットした。

 調査はまだ続いていて、ソースコードやアカウント情報などに関連した不正アクセスがなかったかどうかを調べているという。

 GitHubは今回の事態を受けてセキュリティ対策を強化すると表明した。ユーザーには強力なパスワードの設定と2要素認証の利用を促し、「今後は安易なパスワードではGitHub.comにログインできなくなる」としている。

ITmedia http://www.itmedia.co.jp/enterprise/articles/1311/21/news045.html


9: 名無しさん@13周年 2013/11/21 16:52:58 ID:734YnE0k0

これ怖いよな
ある日 git pull するとマルウェアが入ってるんだろ?

パスワードで破られるんならSSLとかファイル署名とか
なんの役にも立たんしなぁ


8: 名無しさん@13周年 2013/11/21 16:52:08 ID:ZB8EV7Cn0

普通ログインに3度失敗したら
アカウントロックするだろw
総当たりとかさせるなよww


13: 名無しさん@13周年 2013/11/21 16:55:03 ID:DuTiALLc0

>>8
それやると、今度はアカウントロック攻撃がw


18: 名無しさん@13周年 2013/11/21 17:00:54 ID:j/nwrjpL0

>>1
てか、パスワード5回間違いで30分ログイン不可で防げるだろうに
どんだけセキュリティ設計が甘いんだ・・・

で、その間に攻撃元のIPを遮断しろよw


38: 名無しさん@13周年 2013/11/21 18:08:49 ID:YOzgtAsE0

captchaとログイン回数制限掛けときゃいいんじゃないん?


17: 名無しさん@13周年 2013/11/21 16:58:31 ID:vL5+2ptC0

ブルートフォースってカッコいいけど、これってつまり
順に手あたり次第やるってことだろ?
ソフトがやるんだろうが、カッコ悪いよなw


16: 名無しさん@13周年 2013/11/21 16:57:16 ID:nLoiUqmF0

総当りとか辞書アタックとか懐かしいな。
この先さらに10年経っても有効なんだろうな。


7: 名無しさん@13周年 2013/11/21 16:51:40 ID:jVSMX+TQ0

なんの
こっちは総天元攻撃まで対策済みだ


24: 名無しさん@13周年 2013/11/21 17:07:58 ID:iFyMDpTn0

数字7桁程度だと3秒くらいで破るんだっけ総当たり


27: 名無しさん@13周年 2013/11/21 17:12:03 ID:5OBClLKb0

12桁ぐらいなら俺の非力なceleronマシンでもハッシュから生パスワードを5分以内で特定できるぜ
8桁なら1分
クラックが専門の奴はCore i7とか高性能なスペック使ってるだろうからもっと早いだろう


34: 名無しさん@13周年 2013/11/21 18:00:19 ID:6eaoJttN0

>>27
ただそれ暗号を破るべき獲物がローカルにあって、アクセスし放題の場合だ。
ウェブサービスの暗号破りなんて、3回目でアボンとか、3回目からログイン間隔伸びるとか、10回目でメールに送られたセキュリティーコード入力するまで凍結とか、
また、それと同時に運営にアラートでるとか、いくらでも防ぐ方法あるんだけどな。
>>1はどーなってんだ。


35: 名無しさん@13周年 2013/11/21 18:01:15 ID:5OBClLKb0

>>34
不正な方法でハッシュを盗んでこればローカルで調べられる


37: 名無しさん@13周年 2013/11/21 18:03:37 ID:6eaoJttN0

>>35
それだったとしたら>>1に不正アクセスでパスワードデータを取得されたってなるんでないの?
つか、ハッシュ奪われるって、それはもう言い訳できない事態だとおもうんだけど。


12: 名無しさん@13周年 2013/11/21 16:54:32 ID:W7HEA3Cm0

安易なパスワード使ってるような開発プロジェクトが
何かの役に立つのかw


29: 名無しさん@13周年 2013/11/21 17:29:09 ID:nhqG0Cma0

オープンソースで使うプロジェクトメインだから、企業が非公開コードをここで扱うことはない。オープンソースプロジェクトにバグコード埋め込むアホはハッカーに総攻撃食らう運命。


52: 名無しさん@13周年 2013/11/21 18:59:55 ID:l7piywJc0

テロリストだろ??

アタック確認したらとりあえず中国にミサイルぶち込んどけよ
がたがた文句いってきたら
ペンタゴン 「すいませんコンピュータがハッキングされちゃってw」
っていっておけば世界は納得するから


56: 名無しさん@13周年 2013/11/21 19:12:49 ID:9nG6nIvg0

>>52
以前、どっかの中国大使館に誤爆しましたってなかったけ。


32: 名無しさん@13周年 2013/11/21 17:39:04 ID:Zzmb/mqG0

最近電話認証増えて来たね


48: 名無しさん@13周年 2013/11/21 18:57:25 ID:jshlvcPz0

数字などもってのほかと言っても時間の問題だろうw


49: 名無しさん@13周年 2013/11/21 18:57:59 ID:k6mCiKs80

安易なパスワードを設定できる時点でわざとだろ
日本の金融機関なんかひどすぎて目も当てられない


50: 名無しさん@13周年 2013/11/21 18:58:07 ID:hDcW2YfIO

俺のパス jyukujyo60loveは完璧だな


51: 名無しさん@13周年 2013/11/21 18:59:22 ID:bqs2v22B0

>強度の弱いパスワード
何文字だったんだろ?


67: 名無しさん@13周年 2013/11/21 21:52:33 ID:YtHZ3LHT0

4万のIPで100回ずつ試行して22ビットだが
英数大小字でも4桁ないぞ
そんなもん破られて当たり前だと思え


54: 名無しさん@13周年 2013/11/21 19:04:57 ID:NKwi3punO

今や8文字ですら弱い


58: 名無しさん@13周年 2013/11/21 19:14:13 ID:v8bKVIsx0

1234go-hiromi

このパスワードじゃ危険か


64: 名無しさん@13周年 2013/11/21 19:54:29 ID:90b4vjCm0

>>58
桁数にしては弱いけど、
七文字の乱数よりは強固だろうね


66: 名無しさん@13周年 2013/11/21 20:05:12 ID:Dn89XQiQ0

>>58
ありがと
総当たり辞書に登録しておく


59: 名無しさん@13周年 2013/11/21 19:16:27 ID:k6mCiKs80

ローマ字にするだけで弱くなるからなるべく使わないほうがいい


63: 名無しさん@13周年 2013/11/21 19:52:46 ID:ivNEJ2wKP

2ch7743


60: 名無しさん@13周年 2013/11/21 19:24:03 ID:CCPaNFGR0

そもそも総当り攻撃なんてできる時点で論外。
3回失敗したらアカウントロックされるのが常識っしょ


61: 名無しさん@13周年 2013/11/21 19:42:42 ID:wD8N70Ij0

かなり弱いパスワードだったけど俺のハックされなかったん?被害通知のメール来てないよ


72: 名無しさん@13周年 2013/11/22 01:47:55 ID:Q2jJDHFq0

っていうか、パスワード正規に知ってる人間が、総当たりなんかするわけないし。
パスワード3回から5回も間違えたらそのままロックでいいたろうよ
法定したらいい。


71: 名無しさん@13周年 2013/11/22 01:20:20 ID:DHRZwKoA0

セキュリティとユーザビリティはいつも反比例


73: 名無しさん@13周年 2013/11/22 08:58:39 ID:OT9h7/anP

ログイン回数の制限はかけていたとある一方でアタックを受けた期間については何も
書いていないので、もしかすると異常とは気づかせないゆっくりアクセスで長期間
攻撃を受けていたのかもね。


47: 名無しさん@13周年 2013/11/21 18:55:09 ID:hp5EjbNT0

危ないからGitしてろよな


元スレ:http://uni.2ch.net/test/read.cgi/newsplus/1385019870/
sosu



このエントリーをはてなブックマークに追加 LINEで送る
↑この記事をみんなに広めよう↑

↓ランキングクリックよろしくお願いします↓
 にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ニュース)へ にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ゲーム)へ

コメントをどうぞ

メールアドレス
コメント本文

  • あなたのコメントが、更にこの記事をおもしろくします。

プロフィール

PipopeFavicon

ぴぽぺ速報です。

下らないニュース、
おもしろい事件、
ゲームなど色々扱っております。
1日約70記事です。

Twitter
RSS

↓ランキングクリックよろしくお願いします↓
 にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ニュース)へ にほんブログ村 2ちゃんねるブログ 2ちゃんねる(ゲーム)へ

新着情報

逆アクセスランキング

アクセスカウンター

  • 5現在の記事:
  • 1489045総閲覧数:
  • 127今日の閲覧数:
  • 182昨日の閲覧数:
  • 536403総訪問者数:
  • 69今日の訪問者数:
  • 114昨日の訪問者数:
  • 140一日あたりの訪問者数:
  • 0現在オンライン中の人数:

genzou1919 world