GitHub eventus analysi oppugnationis edidit, cuius effectus die 12 Aprilis, oppugnatores accessum ad nubes ferendum in ministerio Amazonio AWS in infrastructura propositi NPM accesserunt. Analysis incidentis ostendit oppugnatores accessum ad exemplaribus exercitus skimdb.npmjs.com tergum, incluso tergum datorum cum documentorum circiter 100 milia NPM utentium 2015, inter tesseras hashes, nomina et electronica.
Password hashes creatae sunt utens algorithms salsorum PBKDF2 vel SHA1, quae anno 2017 ab violentiore bcrypt repugnante substituta sunt. Cum incidentes notati sunt, passwords affectata reset et utentes notificati sunt novam tesseram ponere. Cum duo-factores verificationis faciendae cum confirmatione inscriptio electronica in NPM ab I Martio inclusa est, periculum compromissi usoris pro minimo aestimatur.
Praeterea omnia documenta manifesta et metadata fasciculorum privatorum sicut mensis Aprilis 2021, fasciculi CSV cum indice omnium nominum et versionum fasciculorum privatorum, ac contenta omnium fasciculorum privatorum duorum clientium GitHub (nominum. non detecta) oppugnantium manus incidit. Ipsum repositorium, analysis vestimentorum et verificationis involucrum hashes non patefecit oppugnatores ut mutationes fasciculorum NPM vel commentitias novas fasciculorum versiones ederet.
Oppugnatio facta est die 12 Aprilis subreptis OAuth signis conceptis duabus tertiae factionis integratoribus GitHub, Heroku et Travis-CI. Indicibus utentes, oppugnatores ex repositoriis privatis GitHub clavem extrahere ad Services Web Amazonicae API accedere, in infrastructura NPM usus est. Clavis inde permissus accessus ad notitias in ministerio AWS S3 conditas.
Accedit, notitia detegitur circa problemata secreto gravia antea notata, cum notitias usorum in NPM ministrantium processus - tesserae aliquorum NPM utentium, necnon signa accessi NPM, in internis lignis in textu perspicuo conditae erant. Per integrationem NPM cum GitHub loglingorum ratio, tincidunt non curaverunt ut informationes sensitivae ab postulationibus ad NPM operas in trunco ββpositas removerentur. Vitia fixa sunt omniaque ante oppugnationem NPM purgata. Solus quidam conductorum GitHub ad tigna accessum habuit, quae passwords publicas inclusit.
Source: opennet.ru