GitHub yakaburitsa mhedzisiro yeongororo yekurwiswa, semhedzisiro iyo muna Kubvumbi 12, vapambi vakawana mukana wekupinda makore muAmazon AWS sevhisi yakashandiswa muzvivakwa zveNPM chirongwa. Ongororo yechiitiko ichi yakaratidza kuti vapambi vakawana makopi ekuchengetedza eiyo skimdb.npmjs.com host, kusanganisira yekuchengetedza dhatabhesi ine magwaro evashandisi vangangosvika zviuru zana veNPM kubva muna 100, kusanganisira password hashes, mazita uye email.
Password hashes yakagadzirwa uchishandisa munyu PBKDF2 kana SHA1 algorithms, iyo yakatsiviwa muna 2017 neiyo yakanyanya hutsinye inodzivirira bcrypt. Kana chiitiko ichi chazivikanwa, mapassword akakanganisika akaiswa patsva uye vashandisi vakaziviswa kuseta password nyowani. Sezvo zvinosungirwa-zviviri-zvinhu verification ine email simbiso yakabatanidzwa muNPM kubva munaKurume 1, njodzi yekukanganisa mushandisi inoongororwa seisina kukosha.
Pamusoro pezvo, ese mafaera ekuratidzira uye metadata yemapakeji epachivande kubva muna Kubvumbi 2021, CSV mafaera ane runyorwa rwemazita ese neshanduro yemapakeji epachivande, pamwe nezviri mukati mezvose zvakavanzika mapakeji maviri eGitHub vatengi (mazita. hazvina kuburitswa) zvakawira mumaoko evapambi. Kana iri repository pachayo, ongororo yezvekuteedzera uye kuisirwa kwepakeji hashes haina kuratidza vapanduki vari kuita shanduko kuNPM mapakeji kana kuburitsa manyepo matsva emapakeji.
Kurwiswa uku kwakaitika muna Kubvumbi 12 vachishandisa maOAuth tokens akabiwa akagadzirwa maviri echitatu-bato GitHub vanobatanidza, Heroku uye Travis-CI. Vachishandisa zviratidzo, vapambi vakakwanisa kutora kubva kune yakavanzika GitHub repositori kiyi yekuwana iyo Amazon Web Services API, yakashandiswa muNPM chirongwa chekuvaka. Kiyi inokonzeresa yakabvumira kupinda kune data rakachengetwa muAWS S3 sevhisi.
Pamusoro pezvo, ruzivo rwakaburitswa pamusoro pezvakamboonekwa zvakakomba matambudziko ekuvanzika pakugadzirisa data remushandisi pamaseva eNPM - mapassword evamwe vashandisi veNPM, pamwe nematokeni ekuwana NPM, akachengetwa mumagwaro akajeka mumatanda emukati. Munguva yekubatanidzwa kweNPM neGitHub matanda system, vagadziri vacho havana kuona kuti ruzivo rwakadzama rwakabviswa pane zvikumbiro kune NPM masevhisi akaiswa murogi. Zvinonzi kukanganisa kwakagadziriswa uye matanda akacheneswa pamberi pekurwiswa kweNPM. Vamwe chete vashandi veGitHub ndivo vaikwanisa kuwana matanda, ayo aisanganisira mapassword eruzhinji.
Source: opennet.ru