Die beliebte Software-Hosting-Service GitHub hat seine Anwender dazu aufgefordert, Zwei-Faktor-Authentifizierung einzurichten. Anlass ist eine automatisierte Brute-Force-Attacke auf das Anmeldesystem des Diensts, durch die erfolgreich einige schwache Nutzerpasswörter geknackt wurden.
GitHub hat betroffene Nutzer per E-Mail darüber informiert, dass ihr Account kompromittiert wurde. Der Angriff zum Erraten der Passwörter ging von rund 40.000 eindeutigen IP-Adressen aus, wie Security Manager Shawn Davenport in einem Blogeintrag schreibt. Die IP-Adressen seien dazu genutzt worden, um schwache Passwörter oder für mehrere Sites verwendete Passwörter langsam per Brute-Force-Methode zu knacken.
Die Passwörter kompromittierter Konten wurden laut GitHub zurückgesetzt und deren Besitzer zum Erstellen eines neuen, stärkeren Kennworts aufgefordert. Der Service hat auch persönliche Zugangs-Token, OAuth-Autorisierungen und SSH-Schlüssel der betroffenen Accounts annulliert. Sogar einige Nutzerkonten mit starken Passwörtern seien zurückgesetzt worden, nachdem man Anmeldungen von IP-Adressen festgestellt habe, die für die Attacke genutzt wurden, erklärte Davenport.
Jene Anwender mit starken Passwörtern oder aktivierter Zwei-Faktor-Authentifizierung können fehlgeschlagene Anmeldeversuche auf ihrer Authentifizierungs-Log-in-Seite feststellen. In den vergangenen 48 Stunden haben bereits Dutzende GitHub-Nutzer solche Versuche von IP-Adressen aus China, Indonesien, Ecuador, Venezuela und anderen Staaten gemeldet. Fehlgeschlagene Anmeldungen werden in der Security-Verlaufsseite von GitHub protokolliert.
Angesichts massiver Zugangsdaten-Leaks, wie sie nahezu jede Woche auftreten, und der nach wie vor üblichen Praxis, ein Kennwort für mehrere Dienste oder Konten zu verwenden, ist es ratsam, eine zweite Sicherheitsschicht für die Anmeldung an wichtigen Online-Diensten einzurichten, wie der jüngste Angriff auf GitHub belegt. Apple, Dropbox, Google, Facebook, LinkedIn, Microsoft und Twitter haben daher innerhalb des letzten Jahres alle eine Zwei-Faktor-Authentifizierung eingeführt. Allerdings bietet auch diese keinen umfassenden Schutz.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
