포스팅 내용

국내외 보안동향

다수의 Github 계정, ‘패스워드 재사용 공격’ 기법으로 해킹 당해

다수의 Github 계정, ‘패스워드 재사용 공격’ 기법으로 해킹 당해

Github accounts Hacked in 'Password reuse attack'


매우 인기있는 코드 저장 사이트인 GitHub(깃허브)이 밝혀지지 않은 해커들이 최근 발생한 데이터 유출 사건을 통해 얻은 이메일 주소 및 패스워드를 재사용하여 수 많은 유저들의 계정이 유출 되었다고 경고하였습니다.


이로써 페이스북, 트위터에 이어 GitHub이 패스워드 재사용 공격의 타겟이 되었습니다.


GitHub이 발행한 공지문에 따르면, 지난 6월 14일에 엄청난 횟수의 로그인 시도가 있었는데 이는 알려지지 않은 공격자가 “타 사이트”에서 얻어낸 이메일 주소 및 패스워드 리스트를 이용하여 로그인을 시도했다는 것입니다.


GitHub의 관리자들이 이 로그인 시도들을 확인해 본 결과, 공격자가 수 많은 유저들의 계정에 접근할 수 있었던 것으로 나타났습니다.


계정정보가 어디에서 유출 되었는지는 아직 밝혀지지 않았지만, 최근 대형 유출 사건이 있었던 LinkedIn, MySpace, Tumblr, Fling에서 유출 된 6.42억 개 이상의 패스워드가 그 원인인 것으로 추정됩니다.


GitHub은 해킹 된 계정의 수를 공개하지는 않았지만, 손실 된 데이터는 없다고 밝혔습니다. 따라서 GitHub에 저장 된 고객들의 소스코드는 안전합니다. 하지만 접근 가능한 저장소 및 조직의 리스트 등을 포함한 다른 개인 정보가 유출 되었을 가능성은 있다고 밝혔습니다.


또한 GitHub은 해커가 접근이 가능했던 계정의 패스워드를 모두 리셋 시켰으며, 계정에 다시 접속할 수 있도록 이 사건에 영향을 받은 모든 유저에게 연락을 취하는 중이라고 밝혔습니다. 그리고 사용자들에게 이번 사건에 대해 “고유한 패스워드를 사용해야함을 보여주는 좋은 사례”라 말하며, 이중 인증을 활성화 하기를 권고했습니다.


SNS를 포함한 다른 사이트들에서 동일한 패스워드를 사용하고 있다면, 지금이 패스워드를 변경해야 할 적절한 시기라 볼 수 있습니다.


참고 :

http://thehackernews.com/2016/06/github-password-hack.html

티스토리 방명록 작성
name password homepage