GitHub、大規模なブルートフォース攻撃受ける

GitHubが大規模なブルートフォース攻撃を受け、いくらかのユーザに関してはパスワードが不正に明らかになってしまったことが「Weak passwords brute forced」として伝えられた。パスワードが明らかになったユーザのパスワードはすでにリセットされているほか、パーソナルアクセストークン、OAuth認証、SSH鍵もすでに無効になっており、こうしたユーザに対してはパスワードをより強いものに変更すること、アカウントをレビューすることなどが推奨されている。

自分のアカウントがブルートフォース攻撃の対象となったかどうかは「Security History」のページから確認できる。11月22日よりも3日ないしは4日前に不正アクセスを受けている記録がある。不正ログインが確認されなかった場合でも、アカウント情報をチェックするとともに、2段階認証を有効にするなどして設定の見直しを実施することが推奨される。

GitHubはオープンソースソフトウェアの開発におけるリポジトリサービスとして人気がある。特に新しいプロジェクトほどGitHubを採用する傾向がみられる。リポジトリへのアクセスそのものにはsshの公開鍵認証が使われるがWebサイトへのログインにはWebベースのパスワード認証が使われており、この部分がブルートフォース攻撃の対象となった。