A nyílt forrású szoftverek fejlesztői körében igen népszerű projekttároló és -kezelő szolgáltatás, a GitHub biztonsági főnöke, Shawn Davenport tegnap közleményben figyelmeztette a felhasználóikat, hogy a héten egy biztonsági incidenset detektáltak, és egyes fiókok kompromittálódtak.

A közlemény szerint kedden figyeltek fel illetéktelen behatolási kísérletekre nagy számú GitHub-fióknál. Úgy vélik, ez annak volt köszönhető, hogy a támadó máshonnan megszerzett azonosító/jelszó párosokat használt fel ehhez (feltehetően egy lista, egy adatbázis alapján, automatizáltan). A felfedezés után azonnal vizsgálatot indítottak, és úgy találták, hogy a behatolónak több fiókba is sikerült belépnie.

A szakember hangsúlyozza, hogy magát a GitHub rendszerét nem törték fel.

Az üzemeltetők a további károk megelőzése érdekében törölték az összes érintett fiók jelszavát, és megkezdték a felhasználók értesítését, akiket tájékoztatnak arról, hogy milyen módon szerezhetik vissza a fiók fölötti rendelkezést, és szokás szerint felhívják a figyelmet az óvatos jelszókezelésre (pl. ne használjanak több szolgáltatáshoz azonos jelszót), illetve erősen ajánlják a kétfaktoros azonosítás használatát.