Nocht riarthóirí an stór pacáiste Packagist sonraí faoi ionsaí a ghlac smacht ar chuntais chothaitheoirí 14 leabharlann PHP, lena n-áirítear pacáistí coitianta mar instantiator (526 milliún suiteálacha san iomlán, 8 milliún suiteálacha in aghaidh na míosa, 323 pacáiste cleithiúnach), sql -formatter (suiteálacha 94M san iomlán, 800K in aghaidh na míosa, 109 pacáiste cleithiúnach), foirceadal-cache-bundle (73M san iomlán, 500K in aghaidh na míosa, 348 pacáiste cleithiúnach) agus rcode-bhrathadóir-díchódóra (suiteálacha 20M san iomlán, 400) míle in aghaidh na míosa, 66 pacáiste cleithiúnach).
Tar éis na cuntais a chur i gcontúirt, d'athraigh an t-ionsaitheoir an comhad composer.json, ag cur leis an réimse cur síos ar an tionscadal an fhaisnéis a bhí á lorg aige i gcomhair poist a bhaineann le slándáil faisnéise. Chun an comhad composer.json a athrú, chuir an t-ionsaitheoir naisc chuig forcanna mionathraithe in ionad URLanna na stórtha bunaidh (ní sholáthraíonn Pacálaí ach meiteashonraí le naisc chuig tionscadail a forbraíodh ar GitHub, agus é á shuiteáil leis an "shuiteáil cumadóir" nó "nuashonrú cumadóir ” ordú, déantar na pacáistí a íoslódáil go díreach ó GitHub ). Mar shampla, don phacáiste acmephp, athraíodh an stór nasctha ó acmephp/acmephp go neskafe3v1/acmephp.
De réir dealraimh, níor rinneadh an t-ionsaí chun gníomhartha mailíseacha a dhéanamh, ach mar léiriú ar neamh-inghlacthacht dearcadh míchúramach maidir le húsáid dintiúir dhúblacha ar shuímh éagsúla. Ag an am céanna, contrártha leis an gcleachtas seanbhunaithe "hackáil eiticiúil", níor chuir an t-ionsaitheoir in iúl d'fhorbróirí leabharlainne agus do riarthóirí stórtha faoin turgnamh roimh ré. Níos déanaí, dúirt an t-ionsaitheoir, tar éis dó post a fháil, go bhfoilseoidh sé tuarascáil mhionsonraithe ar na modhanna a úsáideadh san ionsaí.
De réir na faisnéise a d'eisigh riarthóirí Pacálaithe, bhain gach cuntas a bhainistíonn pacáistí comhréitigh úsáid as pasfhocail atá éasca le húsáid gan fíordheimhniú dhá fhachtóir a chumasú. Líomhnaítear gur bhain na cuntais hacked úsáid as pasfhocail a úsáideadh, ní hamháin i bPacálaithe, ach freisin i seirbhísí eile a raibh a mbunachair shonraí pasfhocail i gcontúirt roimhe seo agus ar foilsíodh iad go poiblí. D’fhéadfaí úsáid a bhaint as teachtaireachtaí ríomhphoist ó shealbhóirí cuntais a bhí ceangailte le fearainn atá imithe in éag mar rogha chun rochtain a fháil freisin.
Pacáistí i gcontúirt:
- acmephp/acmephp (suiteálacha 124,860 thar shaolré an phacáiste)
- acmephp/core(419,258)
- acmephp/ssl (531,692)
- foirceadal/foirceadal-taisce-beart (73,490,057)
- foirceadal/modúl foirceadal (5,516,721)
- foirceadal/foirceadal-mongo-odm-modúl (516,441)
- foirceadal/foirceadal-orm-modúl (5,103,306)
- teagascóir/tionscnóir (526,809,061)
- leabhar fáis/leabhar fáis (97,568
- jdorn/file-system-cache (32,660)
- formáiditheoir jdorn/sql (94,593,846)
- khanamiyan/braiteoir-códúil-códóra (20,421,500)
- réad-calisthenics/phpcs-calisthenics-rules (2,196,380)
- tga/simhash-php, tgalopin/simhashphp (30,555)
Foinse: oscailtenet.ru