GitHub e senotse liketsahalo tse peli molemong oa eona oa polokelo ea sephutheloana sa NPM. Ka la 2 Pulungoana, bafuputsi ba ts'ireletso ea mokha oa boraro (Kajetan Grzybowski le Maciej Piechota), e le karolo ea lenaneo la Bug Bounty, ba tlalehile boteng ba tlokotsi sebakeng sa polokelo ea NPM se u lumellang hore u phatlalatse mofuta o mocha oa sephutheloana leha e le sefe u sebelisa ak'haonte ea hau, e sa dumellwang ho etsa diapdeite tse jwalo.
Kotsi e bakiloe ke tlhahlobo e fosahetseng ea tumello ho khoutu ea lits'ebeletso tse nyane tse sebetsanang le likopo ho NPM. Ts'ebeletso ea tumello e ile ea hlahloba tumello ea sephutheloana ho ipapisitse le data e fetisitsoeng kopong, empa ts'ebeletso e 'ngoe e kentseng ntlafatso sebakeng sa polokelo e ile ea etsa qeto ea hore sephutheloana se tla phatlalatsoa ho latela litaba tsa metadata tsa sephutheloana se kentsoeng. Kahoo, mohlaseli a ka kopa ho phatlalatsoa ha sephutheloana sa hae, seo a khonang ho se fumana, empa a hlakise ka har'a sephutheloana ka boeona tlhahisoleseding e mabapi le sephutheloana se seng, seo qetellong se neng se tla ntlafatsoa.
Taba ena e ile ea lokisoa lihora tse 6 ka mor'a hore ho tlaleheloe ts'oaetso, empa ts'oaetso e ne e le teng ho NPM nako e telele ho feta sekoaelo sa litlaleho tsa telemetry. GitHub e re ha ho so be le mesaletsa ea litlhaselo tse sebelisang ts'oaetso ena ho tloha ka Loetse 2020, empa ha ho na tiiso ea hore bothata ha bo so sebelisoe pele.
Ketsahalo ea bobeli e etsahetse ka la 26 October. Nakong ea mosebetsi oa botekgeniki le polokelongtshedimosetso ya tshebeletso ya replicate.npmjs.com, ho ile ha senolwa boteng ba dintlha tsa lekunutu ho database tse fihlellehang ho dikopo tsa kantle, ho senola tlhahisoleseling mabapi le mabitso a liphutheloana tse ka hare tse boletsoeng bukeng ea phetoho. Tlhahisoleseding e mabapi le mabitso a joalo e ka sebelisoa ho etsa litlhaselo tsa ho itšetleha ka merero ea ka hare (ka February, tlhaselo e tšoanang e ile ea lumella khoutu ho etsoa ho li-server tsa PayPal, Microsoft, Apple, Netflix, Uber le lik'hamphani tse ling tse 30).
Ntle le moo, ka lebaka la palo e ntseng e eketseha ea linyeoe tsa polokelo ea merero e meholo e ntseng e koeteloa le khoutu e mpe e khothalelitsoeng ka liak'haonte tsa nts'etsopele tse behang kotsing, GitHub e nkile qeto ea ho hlahisa netefatso ea lintlha tse peli. Phetoho e tla qala ho sebetsa kotareng ea pele ea 2022 mme e tla sebetsa ho bahlokomeli le batsamaisi ba liphutheloana tse kenyellelitsoeng lenaneng le tsebahalang haholo. Ho feta moo, ho tlalehoa ka ntlafatso ea meaho, moo ho tla hlahisoa tlhahlobo le tlhahlobo ea boiketsetso ea mefuta e mecha ea liphutheloana bakeng sa ho lemoha liphetoho tse mpe kapele.
Ha re hopole hore, ho latela phuputso e entsoeng ka 2020, ke 9.27% feela ea bahlokomeli ba liphutheloana ba sebelisang netefatso ea lintlha tse peli ho sireletsa phihlello, mme maemong a 13.37%, ha ba ngolisa li-account tse ncha, bahlahisi ba lekile ho sebelisa li-password tse senyehileng tse hlahang ho ho dutla ha password ho tsejwang. Nakong ea tlhahlobo ea ts'ireletso ea li-password, 12% ea li-account tsa NPM (13% ea liphutheloana) li ile tsa fihleloa ka lebaka la ts'ebeliso ea li-password tse sa lebelloang le tse sa reng letho joalo ka "123456." Har'a tse neng li le bothata e ne e le li-account tse 4 tsa basebelisi tse tsoang ho liphutheloana tse 20 tse tsebahalang haholo, li-account tse 13 tse nang le liphutheloana tse jarollotsoeng makhetlo a fetang limilione tse 50 ka khoeli, tse 40 tse jarollotsoeng tse fetang limilione tse 10 ka khoeli, le tse 282 tse jarollotsoeng tse fetang limilione tse 1 ka khoeli. Ha ho nahanoa ka ho kengoa ha li-module ho latela letoto la litšepeho, ho sekisetsa liak'haonte tse sa tšepahaleng ho ka ama ho fihla ho 52% ea li-module tsohle tsa NPM.
Source: opennet.ru