GitHub adafalitsa zotsatira za kuwunika kwa chiwembucho, zomwe zidapangitsa kuti pa Epulo 12, owukira adapeza mwayi wopezeka pamtambo mu ntchito ya Amazon AWS yomwe idagwiritsidwa ntchito pomanga projekiti ya NPM. Kuwunika kwa zomwe zidachitikazi zidawonetsa kuti omwe adawukirawo adapeza zosunga zobwezeretsera za skimdb.npmjs.com, kuphatikiza zosunga zosunga zobwezeretsera zokhala ndi zidziwitso za ogwiritsa ntchito pafupifupi 100 miliyoni a NPM kuyambira 2015, kuphatikiza mawu achinsinsi, mayina ndi imelo.
Mawu achinsinsi adapangidwa pogwiritsa ntchito ma aligorivimu amchere a PBKDF2 kapena SHA1, omwe adasinthidwa mu 2017 ndi bcrypt yolimbana ndi nkhanza kwambiri. Chochitikacho chikadziwika, mawu achinsinsi omwe akhudzidwawo adakonzedwanso ndipo ogwiritsa ntchito adadziwitsidwa kuti akhazikitse mawu achinsinsi atsopano. Popeza kutsimikizika kwazinthu ziwiri kovomerezeka ndi chitsimikiziro cha imelo kwaphatikizidwa mu NPM kuyambira pa Marichi 1, chiwopsezo cha kunyengerera kwa ogwiritsa ntchito chimayesedwa ngati chochepa.
Kuphatikiza apo, mafayilo onse owonetseratu ndi metadata yamapaketi achinsinsi kuyambira Epulo 2021, mafayilo a CSV okhala ndi mndandanda waposachedwa wa mayina onse ndi mitundu yamapaketi achinsinsi, komanso zomwe zili m'mapaketi achinsinsi amakasitomala awiri a GitHub (mayina). siziululidwe) adagwera m'manja mwa owukirawo. Ponena za malo omwewo, kusanthula kwazomwe zafufuzidwa ndi kutsimikizika kwa ma hashes a phukusi sikunawulule omwe akuwukirawo akusintha mapaketi a NPM kapena kusindikiza mapaketi atsopano onama.
Kuukiraku kunachitika pa Epulo 12 pogwiritsa ntchito ma tokeni obedwa a OAuth opangidwa kwa ophatikiza awiri a gulu lachitatu la GitHub, Heroku ndi Travis-CI. Pogwiritsa ntchito zizindikirozo, owukirawo adatha kuchotsa m'mabuku achinsinsi a GitHub chinsinsi cholowera ku Amazon Web Services API, yogwiritsidwa ntchito muzomangamanga za polojekiti ya NPM. Kiyi yotsatira idalola mwayi wofikira ku data yosungidwa muutumiki wa AWS S3.
Kuphatikiza apo, zidziwitso zidawululidwa zamavuto akulu achinsinsi omwe adadziwika kale pokonza deta ya ogwiritsa ntchito pa maseva a NPM - mapasiwedi a ogwiritsa ntchito ena a NPM, komanso ma tokeni ofikira a NPM, adasungidwa m'malemba omveka bwino m'zipika zamkati. Pakuphatikizidwa kwa NPM ndi makina odula mitengo a GitHub, omangawo sanawonetsetse kuti zidziwitso zachidziwitso zachotsedwa pazopempha kuzinthu za NPM zomwe zidayikidwa mu chipika. Akuti cholakwikacho chidakonzedwa ndipo matabwawo adachotsedwa chiwembu cha NPM chisanachitike. Ogwira ntchito ena a GitHub okha ndi omwe anali ndi mwayi wopeza zipika, zomwe zimaphatikizapo mapasiwedi apagulu.
Source: opennet.ru