Die beliebte Software-Hosting-Service GitHub hat seine Anwender dazu aufgefordert, Zwei-Faktor-Authentifizierung einzurichten. Anlass ist eine automatisierte Brute-Force-Attacke auf das Anmeldesystem des Diensts, durch die erfolgreich einige schwache Nutzerpasswörter geknackt wurden.
GitHub hat betroffene Nutzer per E-Mail darüber informiert, dass ihr Account kompromittiert wurde. Der Angriff zum Erraten der Passwörter ging von rund 40.000 eindeutigen IP-Adressen aus, wie Security Manager Shawn Davenport in einem Blogeintrag schreibt. Die IP-Adressen seien dazu genutzt worden, um schwache Passwörter oder für mehrere Sites verwendete Passwörter langsam per Brute-Force-Methode zu knacken.
Die Passwörter kompromittierter Konten wurden laut GitHub zurückgesetzt und deren Besitzer zum Erstellen eines neuen, stärkeren Kennworts aufgefordert. Der Service hat auch persönliche Zugangs-Token, OAuth-Autorisierungen und SSH-Schlüssel der betroffenen Accounts annulliert. Sogar einige Nutzerkonten mit starken Passwörtern seien zurückgesetzt worden, nachdem man Anmeldungen von IP-Adressen festgestellt habe, die für die Attacke genutzt wurden, erklärte Davenport.
Jene Anwender mit starken Passwörtern oder aktivierter Zwei-Faktor-Authentifizierung können fehlgeschlagene Anmeldeversuche auf ihrer Authentifizierungs-Log-in-Seite feststellen. In den vergangenen 48 Stunden haben bereits Dutzende GitHub-Nutzer solche Versuche von IP-Adressen aus China, Indonesien, Ecuador, Venezuela und anderen Staaten gemeldet. Fehlgeschlagene Anmeldungen werden in der Security-Verlaufsseite von GitHub protokolliert.
Angesichts massiver Zugangsdaten-Leaks, wie sie nahezu jede Woche auftreten, und der nach wie vor üblichen Praxis, ein Kennwort für mehrere Dienste oder Konten zu verwenden, ist es ratsam, eine zweite Sicherheitsschicht für die Anmeldung an wichtigen Online-Diensten einzurichten, wie der jüngste Angriff auf GitHub belegt. Apple, Dropbox, Google, Facebook, LinkedIn, Microsoft und Twitter haben daher innerhalb des letzten Jahres alle eine Zwei-Faktor-Authentifizierung eingeführt. Allerdings bietet auch diese keinen umfassenden Schutz.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
