D'fhoilsigh GitHub torthaí anailíse ar an ionsaí, agus mar thoradh air sin ar 12 Aibreán, fuair ionsaitheoirí rochtain ar thimpeallachtaí scamall i seirbhís Amazon AWS a úsáidtear i mbonneagar an tionscadail NPM. Léirigh anailís ar an teagmhas go bhfuair na hionsaitheoirí rochtain ar chóipeanna cúltaca den óstach skimdb.npmjs.com, lena n-áirítear cúltaca bunachar sonraí le dintiúir do thart ar 100 míle úsáideoir NPM ó 2015, lena n-áirítear hashes pasfhocal, ainmneacha agus ríomhphost.
Cruthaíodh hashes pasfhocail ag baint úsáide as na halgartaim PBKDF2 nó SHA1 saillte, a cuireadh in ionad in 2017 bcrypt níos brúidiúla atá resistant i bhfeidhm. Nuair a aithníodh an teagmhas, athshocraíodh na pasfhocail a raibh tionchar orthu agus cuireadh in iúl d’úsáideoirí pasfhocal nua a shocrú. Ós rud é go bhfuil fíorú éigeantach dhá-fhachtóir le deimhniú ríomhphoist curtha san áireamh san NPM ó 1 Márta, meastar nach bhfuil riosca comhréiteach úsáideoirí neamhshuntasach.
Ina theannta sin, gach comhad follasach agus meiteashonraí de phacáistí príobháideacha ó Aibreán 2021, comhaid CSV le liosta cothrom le dáta de gach ainm agus leagan de phacáistí príobháideacha, chomh maith le hinneachar gach pacáiste príobháideach de dhá chliaint GitHub (ainmneacha nach bhfoilsítear) thit isteach i lámha an ionsaitheoirí. Maidir leis an stór féin, níor léirigh anailís ar rianta agus fíorú hashes pacáiste na hionsaitheoirí ag déanamh athruithe ar phacáistí NPM nó ag foilsiú leaganacha bréige nua de phacáistí.
Tharla an t-ionsaí ar 12 Aibreán ag baint úsáide as comharthaí OAuth goidte a ghintear le haghaidh dhá chomhtháthóirí GitHub tríú páirtí, Heroku agus Travis-CI. Ag baint úsáide as na comharthaí, bhí na hionsaitheoirí in ann a bhaint as stórtha príobháideacha GitHub an eochair chun rochtain a fháil ar API Seirbhísí Gréasáin Amazon, a úsáidtear i mbonneagar tionscadail NPM. Cheadaigh an eochair a d’eascair rochtain ar shonraí a bhí stóráilte sa tseirbhís AWS S3.
Ina theannta sin, nochtadh faisnéis faoi fhadhbanna rúndachta tromchúiseacha a aithníodh roimhe seo agus sonraí úsáideoirí á bpróiseáil ar fhreastalaithe NPM - coinníodh pasfhocail roinnt úsáideoirí NPM, chomh maith le comharthaí rochtana NPM, i dtéacs soiléir i logaí inmheánacha. Le linn comhtháthú NPM le córas logála GitHub, níor chinntigh na forbróirí gur baineadh faisnéis íogair ó iarratais ar sheirbhísí NPM a cuireadh sa loga. Líomhnaítear gur socraíodh an locht agus gur glanadh na logaí roimh an ionsaí ar NPM. Ní raibh rochtain ach ag fostaithe GitHub áirithe ar na logaí, lena n-áirítear pasfhocail phoiblí.
Foinse: oscailtenet.ru