Actus

GitHub : des attaquants ont volé les informations de connexion de comptes d’utilisateurs de 100 000 npm

Par hfrance , le 30 mai 2022 - 10 minutes de lecture
GitHub : des attaquants ont volé les informations de connexion de comptes d'utilisateurs de 100 000 npm
Notez l'article

GitHub a révélé aujourd’hui qu’un attaquant avait volé les informations de connexion d’environ 100 000 comptes npm lors d’une faille de sécurité à la mi-avril à l’aide de jetons d’application OAuth volés délivrés à Heroku et Travis-CI.

L’auteur de la menace a réussi à pirater et à exfiltrer des données de référentiels privés appartenant à des dizaines d’organisations.

GitHub a révélé cette faille de sécurité le 15 avril, trois jours après la découverte de l’attaque, lorsque l’acteur malveillant a eu accès à l’infrastructure de production npm.

L’auteur de la menace a intensifié son accès à l’aide d’une clé d’accès AWS compromise, acquise après avoir téléchargé plusieurs référentiels npm privés à l’aide des jetons d’utilisateur OAuth volés au cours de la phase initiale de l’attaque.

Après la découverte de la faille, GitHub, Travis CI et Heroku ont révoqué tous les jetons OAuth pour bloquer d’autres tentatives de piratage.

Aujourd’hui, Greg Ose, directeur principal de l’ingénierie de la sécurité des produits chez GitHub, a déclaré que la société avait découvert au cours de l’enquête que les acteurs inconnus de la menace avaient volé les données suivantes du stockage cloud npm :

Cependant, bien que les hachages de mot de passe aient été générés à l’aide d’algorithmes de hachage faibles (c’est-à-dire PBKDF2 ou SHA1 salé) et puissent être piratés pour prendre le contrôle des comptes, de telles tentatives seraient automatiquement bloquées par la vérification des e-mails activée sur tous les comptes depuis le 1er mars 2022, s’ils ne sont pas inscrits à 2FA.

Après analyse des journaux et des événements et vérification des hachages pour toutes les versions de packages npm, GitHub “est actuellement convaincu que l’acteur n’a modifié aucun package publié dans le registre ni publié de nouvelles versions de packages existants”.

GitHub a réinitialisé tous les mots de passe appartenant aux utilisateurs npm concernés et notifie toutes les organisations et tous les utilisateurs dont les données ont été consultées par l’attaquant.

Ceux qui souhaitent faire pivoter vos jetons npm peuvent suivre les étapes détaillées ici. Vous pouvez également réinitialiser manuellement le mot de passe de votre compte npm en accédant ici.

Identifiants npm en texte clair trouvés dans les journaux Internet

Lors de l’enquête sur la faille OAuth d’avril, GitHub indique avoir également trouvé des informations d’identification en clair stockées dans des journaux internes pour les services npm.

Heureusement, seuls les employés de GitHub avaient accès à ces informations pendant que ces informations de connexion étaient exposées.

Les données d’identification trouvées dans les journaux internes incluent les jetons d’accès npm, un petit nombre de mots de passe en clair utilisés pour se connecter aux comptes npm et certains jetons d’accès personnel GitHub envoyés aux services npm.

“A la suite d’une découverte interne et d’une enquête supplémentaire non liée à l’attaque par jeton OAuth, GitHub a découvert un certain nombre d’informations d’identification d’utilisateur en clair pour le registre npm qui ont été capturées dans les journaux internes suite à l’intégration de npm dans les systèmes de journalisation GitHub”, a ajouté Ose.

“Ce problème a été atténué et les journaux contenant les informations d’identification en clair ont été purgés avant l’attaque contre npm.”

Comment héberger gratuitement un site web sur GitHub ?

Comment héberger gratuitement un site web sur GitHub ?
  • Créez un compte GitHub. Première chose à faire : créez-vous un compte GitHub ! …
  • Téléchargez et installez l’application GitHub Desktop. C’est l’application que nous utiliserons pour obtenir notre code sur GitHub. …
  • Créez un nouveau projet GitHub. …
  • Copiez vos fichiers dans le nouveau dossier Repository. …
  • Publiez votre site Web. …
  • Partagez votre site Web!

Puis-je héberger mon propre site Web sur GitHub ? Les utilisateurs de GitHub peuvent créer et héberger à la fois des sites Web personnels (un autorisé par utilisateur) et des sites Web liés à des projets GitHub spécifiques. Pages vous permet de faire les mêmes choses que GitHub, mais si le référentiel est nommé d’une certaine manière et que les fichiers qu’il contient sont HTML ou Markdown, vous pouvez afficher le fichier comme n’importe quel autre site Web.

Comment puis-je héberger gratuitement mon site HTML sur GitHub ?

L’hébergement d’un site Web sur GitHub coûte-t-il de l’argent ?

GitHub Pages est disponible dans les référentiels publics avec GitHub Free et GitHub Free pour les organisations, et dans les référentiels publics et privés avec GitHub Pro, GitHub Team, GitHub Enterprise Cloud et GitHub Enterprise Server.

Le domaine GitHub est-il gratuit ?

Domains offre 1 an d’enregistrement de domaine gratuit, 1 an gratuit de sécurité avancée (SSL, protection de la vie privée, etc.).

GitHub est-il gratuit pour les étudiants ?

GitHub est-il gratuit pour les étudiants ?

GitHub Education offre aux étudiants une expérience du monde réel avec un accès gratuit à divers outils de développement des partenaires de GitHub. En tant qu’étudiant ou membre du corps professoral d’un établissement d’enseignement agréé, vous pouvez demander les avantages de GitHub Education, qui incluent l’accès à GitHub Global Campus.

L’étudiant GitHub expire-t-il ? Le pack étudiant durera deux ans. Vous pouvez renouveler le plan si vous étudiez encore à ce moment-là. Ça y est.

GitHub est-il gratuit pour l’éducation ?

Utilisation gratuite pour les étudiants inscrits au pack GitHub Education. Les experts du campus GitHub sont des étudiants qui créent des communautés techniques sur le campus, avec la formation et le soutien de GitHub. Postulez pour faire partie du programme pendant que vous êtes étudiant.

Que comprend le pack étudiant GitHub ?

Le pack contient actuellement 23 outils allant de la science des données, des jeux, de la réalité virtuelle, de la réalité augmentée, des API, des environnements de développement intégrés, des systèmes de contrôle de version, des plates-formes d’hébergement cloud, des didacticiels de code, des BootCamps, des plates-formes d’intégration continue, des plates-formes de paiement et bien plus encore.

GitHub est-il sûr ?

Oui, GitHub lui-même est sûr et sécurisé. Cependant, lorsque vous téléchargez des programmes depuis GitHub, vous devez toujours faire preuve de prudence et ne télécharger que ceux créés par des développeurs en qui vous pouvez avoir confiance.

GitHub est-il une bonne source ? Aujourd’hui, GitHub est l’une des ressources les plus populaires auprès des développeurs pour partager du code et travailler ensemble sur des projets. Il est gratuit, facile à utiliser et est devenu un élément central du mouvement vers les logiciels open source.

L’utilisation de GitHub est-elle gratuite ?

Vous pouvez utiliser les organisations gratuitement, avec GitHub Free, qui inclut des fonctionnalités limitées sur les référentiels privés.

A quoi sert vraiment GitHub ?

GitHub est une ressource de programmation de plus en plus populaire utilisée pour le partage de code. Il s’agit d’un site de réseautage social pour les programmeurs que de nombreuses entreprises et organisations utilisent pour faciliter la gestion de projet et la collaboration.

Pourquoi git demande-t-il à chaque fois un nom d’utilisateur et un mot de passe ?

Pourquoi git demande-t-il à chaque fois un nom d'utilisateur et un mot de passe ?

Si Git vous demande un nom d’utilisateur et un mot de passe chaque fois que vous essayez d’interagir avec GitHub, vous utilisez probablement l’URL de clonage HTTPS pour votre référentiel. L’utilisation d’une URL distante HTTPS présente certains avantages par rapport à l’utilisation de SSH. Il est plus facile à configurer que SSH et fonctionne généralement à travers des pare-feu et des proxys stricts.

Comment puis-je faire en sorte que Git se souvienne de mes informations d’identification ? Si vous clonez des référentiels GitHub à l’aide de HTTPS, vous pouvez utiliser un assistant d’identification pour indiquer à Git de se souvenir de votre nom d’utilisateur et de votre mot de passe GitHub chaque fois qu’il communique avec GitHub. Activez l’assistant d’identification pour que Git enregistre votre mot de passe en mémoire pendant un certain temps. Par défaut, Git mettra votre mot de passe en cache pendant 15 minutes.

Comment empêcher Git de demander à chaque fois un nom d’utilisateur et un mot de passe ?

Saisie du nom d’utilisateur et du mot de passe Git dans l’URL distante Pour empêcher Git de demander votre nom d’utilisateur et votre mot de passe, vous pouvez saisir les identifiants de connexion dans l’URL, comme indiqué. Le principal inconvénient de cette méthode est que votre nom d’utilisateur et votre mot de passe seront enregistrés dans la commande dans le fichier d’historique du Shell.

  • SPIDAN CHASSIS PARTS Bras de liaison, suspension de roue SPIDAN CHASSIS PARTS, Côté d'assemblage: avant: , u.a. für Audi
    SPIDAN CHASSIS PARTS Bras de liaison, suspension de roue uniquement en connexion avec:Ball joint Côté d'assemblage:supérieur Tenir compte des informations service Type de bras oscillant:bras oscillant longitudinal Numéro d'article en paire:58971 Côté d'assemblage:Essieu avant gauche Matériel:Aluminium Dimension du cône [mm]:16 mm Barre/montant:Barre de force Côté d'assemblage:avant , u.a. für Audi A4 B9 (8W5, 8WD), 1984 cm³, 190 CV (140 kW), à partir de 8/2015Audi A5 (F53, F5P), 1968 cm³, 204 CV (150 kW), à partir de 9/2020Audi A5 (F57, F5E), 1968 cm³, 204 CV (150 kW), à partir de 9/2020Audi A5 (F5A, F5F), 2967 cm³, 341 CV (251 kW), à partir de 1/2021Audi A4 B9 (8W2, 8WC), 2967 cm³, 341 CV (251 kW), à partir de 1/2021Audi A4 Allroad B9 (8WH, 8WJ), 1968 cm³, 190 CV (140 kW), à partir de 1/2020Audi A5 (F53, F5P), 2967 cm³, 286 CV (210 kW), à partir de 8/2020Audi A4 B9 (8W2, 8WC), 1968 cm³, 136 CV (100 kW), 5/2015 à 11/2019Audi A4 B9 (8W2, 8WC), 1395 cm³, 150 CV (110 kW), 8/2015 à 11/2019Audi A4 B9 (8W2, 8WC), 1984 cm³, 249 CV (183 kW), 11/2015 à 11/2019Audi A4 B9 (8W2, 8WC), 1968 cm³, 163 CV (120 kW), 9/2016 à 11/2019Audi A5 (F53, F5P), 1968 cm³, 150 CV (110 kW), 5/2017 à 2/2020Audi A5 (F5A, F5F), 1984 cm³, 150 CV (110 kW), à partir de 8/2018Audi A4 B9 (8W2, 8WC), 1968 cm³, 190 CV (140 kW), 5/2015 à 11/2019Audi A5 (F5A, F5F), 1968 cm³, 150 CV (110 kW), 1/2017 à 2/2020Audi A4 Allroad B9 (8WH, 8WJ), 2967 cm³, 231 CV (170 kW), à partir de 7/2018Audi A4 B9 (8W5, 8WD), 2967 cm³, 341 CV (251 kW), à partir de 1/2021Audi A5 (F5A, F5F), 1968 cm³, 204 CV (150 kW), à partir de 9/2020Audi A4 Allroad B9 (8WH, 8WJ), 2967 cm³, 286 CV (210 kW), à partir de 8/2020Audi A4 B9 (8W5, 8WD), 2967 cm³, 286 CV (210 kW), à partir de 8/2020Audi A4 B9 (8W2, 8WC), 2967 cm³, 286 CV (210 kW), à partir de 8/2020Audi A5 (F53, F5P), 2967 cm³, 341 CV (251 kW), à partir de 1/2021Audi A5 (F5A, F5F), 1984 cm³, 265 CV (195 kW), à partir de 10/2019Audi A5 (F5A, F5F), 1984 cm³, 204 CV (150 kW), à partir de 6/2020Audi A5 (F53, F5P), 1984 cm³, 204 CV (150 kW), à partir de 7/2020Audi A5 (F57, F5E), 1984 cm³, 265 CV (195 kW), à partir de 6/2020Audi A5 (F57, F5E), 1984 cm³, 204 CV (150 kW), à partir de 6/2020Audi A5 (F57, F5E), 1984 cm³, 204 CV (150 kW), à partir de 5/2020Audi A4 B9 (8W2, 8WC), 1984 cm³, 265 CV (195 kW), à partir de 8/2020Audi A4 B9 (8W2, 8WC), 1984 cm³, 204 CV (150 kW), à partir de 6/2020Audi A4 B9 (8W5, 8WD), 1984 cm³, 265 CV (195 kW), à partir de 8/2020Audi A4 B9 (8W5, 8WD), 1968 cm³, 204 CV (150 kW), à partir de 5/2020Audi A5 (F5A, F5F), 1968 cm³, 136 CV (100 kW), à partir de 10/2019Audi A5 (F53, F5P), 1968 cm³, 136 CV (100 kW), à partir de 10/2019Audi A4 Allroad B9 (8WH, 8WJ), 2967 cm³, 286 CV (210 kW), à partir de 11/2019Audi A5 (F57, F5E), 1968 cm³, 163 CV (120 kW), à partir de 10/2019Audi A5 (F5A, F5F), 1968 cm³, 163 CV (120 kW), à partir de 10/2019Audi A5 (F53, F5P), 1968 cm³, 163 CV (120 kW), à partir de 10/2019Audi A4 B9 (8W5, 8WD), 1968 cm³, 163 CV (120 kW), à...
  • SPIDAN CHASSIS PARTS Bras de liaison, suspension de roue SPIDAN CHASSIS PARTS, Côté d'assemblage: Essieu avant gauche, u.a. für Audi, Seat, VW, Skoda
    SPIDAN CHASSIS PARTS Bras de liaison, suspension de roue uniquement en connexion avec:Ball joint Côté d'assemblage:supérieur Tenir compte des informations service Type de bras oscillant:bras oscillant longitudinal Côté d'assemblage:arrière Côté d'assemblage:Essieu avant gauche Matériel:Aluminium Dimension du cône [mm]:16 mm Numéro d'article en paire:57116 Barre/montant:Barre de force Référence de l'accessoire recommandé:37001 , u.a. für Audi A6 C5 (4B2), 2393 cm³, 165 CV (121 kW), 2/1997 à 1/2005Seat Exeo (3R5), 1968 cm³, 143 CV (105 kW), 5/2009 à 5/2013Audi A6 C5 (4B2), 2771 cm³, 193 CV (142 kW), 2/1997 à 1/2005Seat Exeo (3R2), 1968 cm³, 120 CV (88 kW), 12/2008 à 5/2013Audi A4 B5 (8D2), 2771 cm³, 190 CV (140 kW), 9/1999 à 10/2000Audi A4 B5 (8D2), 2771 cm³, 174 CV (128 kW), 1/1995 à 7/1997Audi A4 B5 (8D5), 1781 cm³, 125 CV (92 kW), 1/1996 à 9/2001Audi A6 C5 (4B2), 1896 cm³, 110 CV (81 kW), 4/1997 à 10/2000Audi A4 B5 (8D2), 2496 cm³, 150 CV (110 kW), 9/1997 à 11/2000Audi A6 C5 (4B5), 2393 cm³, 165 CV (121 kW), 12/1997 à 1/2005Audi A4 B7 (8EC), 1968 cm³, 163 CV (120 kW), 6/2006 à 6/2008Seat Exeo (3R5), 1798 cm³, 120 CV (88 kW), 9/2010 à 5/2013Audi A4 B5 (8D5), 2771 cm³, 193 CV (142 kW), 10/1996 à 9/2001Audi A4 B5 (8D5), 1896 cm³, 110 CV (81 kW), 9/1996 à 9/2001Audi A4 B5 (8D5), 2496 cm³, 150 CV (110 kW), 9/1997 à 9/2001Audi A6 C5 (4B5), 2496 cm³, 150 CV (110 kW), 12/1997 à 1/2005Audi A4 B6 (8H7), 1984 cm³, 130 CV (96 kW), 9/2004 à 12/2005Audi A4 B7 (8HE), 1968 cm³, 140 CV (103 kW), 1/2006 à 3/2009Audi A4 B7 (8ED), 4163 cm³, 420 CV (309 kW), 9/2005 à 6/2008VW Passat B5.5 (3B6), 2771 cm³, 190 CV (140 kW), 10/2000 à 5/2005Audi A6 C5 (4B2), 2393 cm³, 136 CV (100 kW), 7/1998 à 1/2005Audi A6 C5 (4B5), 2393 cm³, 136 CV (100 kW), 7/1998 à 1/2005Audi A6 C5 (4B2), 3697 cm³, 260 CV (191 kW), 3/1999 à 1/2005Audi A4 B5 (8D2), 1896 cm³, 116 CV (85 kW), 3/2000 à 11/2000Audi A4 B5 (8D5), 1896 cm³, 115 CV (85 kW), 3/2000 à 9/2001Audi A4 B5 (8D5), 1781 cm³, 180 CV (132 kW), 12/1997 à 9/2001Audi A4 B5 (8D2), 1781 cm³, 180 CV (132 kW), 12/1997 à 11/2000Audi A6 C5 (4B5), 1781 cm³, 180 CV (132 kW), 12/1997 à 1/2005Audi A6 C5 (4B5), 4172 cm³, 299 CV (220 kW), 11/1998 à 1/2005VW Passat B5.5 (3B3), 2771 cm³, 190 CV (140 kW), 10/2000 à 5/2005Audi A6 C5 (4B5), 1781 cm³, 180 CV (132 kW), 4/1999 à 1/2005Audi A4 B7 (8HE), 4163 cm³, 344 CV (253 kW), 11/2005 à 3/2009Audi A6 C5 (4B2), 2496 cm³, 180 CV (132 kW), 2/2000 à 1/2005Audi A6 C5 (4B5), 2496 cm³, 180 CV (132 kW), 2/2000 à 1/2005Audi A4 B5 (8D2), 1781 cm³, 115 CV (85 kW), 4/1995 à 11/2000Audi A4 B5 (8D5), 1781 cm³, 115 CV (85 kW), 7/1995 à 9/2001Audi A4 B5 (8D2), 1595 cm³, 102 CV (75 kW), 7/2000 à 11/2000Audi A4 B5 (8D5), 1595 cm³, 102 CV (75 kW), 7/2000 à 9/2001VW Passat B5.5 (3B3), 1896 cm³, 101 CV (74 kW), 11/2000 à 5/2005VW Passat B5.5 (3B6), 1896 cm³, 101 CV (74 kW), 11/2000 à 5/2005VW Passat B5.5 (3B6), 1896 cm³, 130 CV (96 kW), 11/2000 à 5/2005VW Passat B5.5 (3B6), 1595 cm³, 102 CV (75 kW), 11/2000 à 5/2005Audi A4 B6...
  • SPIDAN CHASSIS PARTS Bras de liaison, suspension de roue SPIDAN CHASSIS PARTS, Côté d'assemblage: avant, u.a. für Audi, VW, Skoda, Seat
    SPIDAN CHASSIS PARTS Bras de liaison, suspension de roue uniquement en connexion avec:Ball joint Côté d'assemblage:supérieur Tenir compte des informations service Côté d'assemblage:Essieu avant droit Type de bras oscillant:bras oscillant longitudinal Matériel:Aluminium Numéro d'article en paire:44929 Dimension du cône [mm]:16 mm Barre/montant:Barre de force Côté d'assemblage:avant Référence de l'accessoire recommandé:37001 , u.a. für Audi A4 B5 (8D5), 2393 cm³, 163 CV (120 kW), 8/1997 à 9/2001Audi A4 B5 (8D2), 2393 cm³, 163 CV (120 kW), 8/1997 à 11/2000VW Passat B5.5 (3B3), 1781 cm³, 170 CV (125 kW), 2/2001 à 11/2005Audi A6 C5 (4B5), 4172 cm³, 450 CV (331 kW), 7/2002 à 1/2005Audi A6 C5 (4B2), 4172 cm³, 450 CV (331 kW), 7/2002 à 1/2005Audi A4 B6 (8E2), 1896 cm³, 130 CV (96 kW), 11/2001 à 12/2004Audi A4 B6 (8E2), 1984 cm³, 150 CV (110 kW), 7/2002 à 12/2004Audi A4 B6 (8E5), 2976 cm³, 220 CV (162 kW), 9/2001 à 12/2004Audi A4 B6 (8E5), 2496 cm³, 155 CV (114 kW), 9/2001 à 7/2002Audi A4 B6 (8E5), 2393 cm³, 170 CV (125 kW), 9/2001 à 12/2004VW Passat B5 (3B5), 1781 cm³, 115 CV (85 kW), 6/1997 à 11/2000VW Passat B5 (3B2), 2771 cm³, 180 CV (132 kW), 5/1997 à 9/1999Skoda Superb I (3U4), 1896 cm³, 130 CV (96 kW), 12/2001 à 3/2008Skoda Superb I (3U4), 2771 cm³, 193 CV (142 kW), 12/2001 à 3/2008Skoda Superb I (3U4), 1984 cm³, 115 CV (85 kW), 12/2001 à 3/2008Audi A4 B6 (8E5), 1896 cm³, 130 CV (96 kW), 9/2001 à 12/2004Audi A4 B6 (8E5), 1781 cm³, 150 CV (110 kW), 9/2001 à 7/2002VW Passat B5.5 (3B3), 3999 cm³, 275 CV (202 kW), 9/2001 à 9/2004Audi A6 C5 (4B5), 2976 cm³, 220 CV (162 kW), 8/2001 à 1/2005Audi A6 C5 (4B5), 2496 cm³, 155 CV (114 kW), 8/2001 à 1/2005Audi A6 C5 (4B5), 2393 cm³, 170 CV (125 kW), 8/2001 à 1/2005Audi A6 C5 (4B2), 2671 cm³, 250 CV (184 kW), 8/2001 à 1/2005Audi A6 C5 (4B2), 2976 cm³, 220 CV (162 kW), 8/2001 à 1/2005Audi A6 C5 (4B2), 2393 cm³, 156 CV (115 kW), 2/1997 à 1/2005VW Passat B5.5 (3B6), 2324 cm³, 170 CV (125 kW), 11/2000 à 5/2005VW Passat B5.5 (3B3), 2324 cm³, 170 CV (125 kW), 11/2000 à 5/2005VW Passat B5.5 (3B3), 1984 cm³, 115 CV (85 kW), 11/2000 à 5/2005VW Passat B5.5 (3B3), 1896 cm³, 130 CV (96 kW), 11/2000 à 5/2005VW Passat B5.5 (3B3), 2496 cm³, 150 CV (110 kW), 11/2000 à 5/2005Audi A6 C5 (4B5), 2771 cm³, 190 CV (140 kW), 7/1999 à 1/2005Audi A6 C5 (4B5), 2771 cm³, 180 CV (132 kW), 12/1997 à 5/2000Audi A6 C5 (4B2), 1781 cm³, 116 CV (85 kW), 5/1997 à 1/2005Audi A6 C5 (4B5), 1896 cm³, 115 CV (85 kW), 7/2000 à 1/2005VW Passat B5.5 (3B6), 2771 cm³, 193 CV (142 kW), 11/2000 à 5/2005VW Passat B5.5 (3B3), 1781 cm³, 150 CV (110 kW), 11/2000 à 5/2005Audi A4 B6 (8E2), 1896 cm³, 130 CV (96 kW), 11/2000 à 12/2004Audi A4 B6 (8E2), 2976 cm³, 220 CV (162 kW), 11/2000 à 12/2004VW Passat B5.5 (3B6), 1595 cm³, 102 CV (75 kW), 11/2000 à 5/2005VW Passat B5.5 (3B6), 1896 cm³, 101 CV (74 kW), 11/2000 à 5/2005Audi Allroad C5 (4BH), 2496 cm³, 180 CV (132 kW), 5/2000 à 8/2005Audi A6 C5 (4B5), 2496 cm³, 180 CV (132 kW), 2/2000 à 1/2005Audi A4 B7 (8HE), 4163...

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.