NPM repozitori 500 ta eng mashhur NPM paketlarini saqlaydigan hisoblar uchun majburiy ikki faktorli autentifikatsiyani o'z ichiga oladi. Ommaboplik mezoni sifatida qaram paketlar soni ishlatilgan. Roʻyxatdagi paketlarning saqlovchilari faqat ikki faktorli autentifikatsiya yoqilgandan soʻnggina omborda oʻzgartirish bilan bogʻliq operatsiyalarni amalga oshirishlari mumkin boʻladi, bu Authy, Google Authenticator va FreeOTP kabi ilovalar tomonidan yaratilgan bir martalik parollar (TOTP) yordamida kirishni tasdiqlashni talab qiladi yoki WebAuth protokolini qo'llab-quvvatlovchi apparat kalitlari va biometrik skanerlar.
Bu NPMning hisobni buzishdan himoyasini kuchaytirishning uchinchi bosqichidir. Birinchi bosqich npmjs.com saytiga kirishga yoki npm da autentifikatsiya qilingan operatsiyani bajarishga urinayotganda elektron pochta orqali yuborilgan bir martalik kodni kiritishni talab qiladigan kengaytirilgan hisob tekshiruvidan foydalanish uchun ikki faktorli autentifikatsiya yoqilmagan barcha NPM hisoblarini konvertatsiya qilishni o‘z ichiga oladi. qulaylik. Ikkinchi bosqichda 100 ta eng ommabop paketlar uchun majburiy ikki faktorli autentifikatsiya yoqildi.
Esda tutingki, 2020 yilda o'tkazilgan tadqiqotga ko'ra, paketni ta'minlovchilarning atigi 9.27 foizi kirishni himoya qilish uchun ikki faktorli autentifikatsiyadan foydalangan va 13.37 foiz hollarda yangi hisoblarni ro'yxatdan o'tkazishda ishlab chiquvchilar ma'lum bo'lgan buzilgan parollarni qayta ishlatishga harakat qilishgan. parol sizib chiqadi. Parol xavfsizligini tekshirish davomida “12” kabi prognoz qilinadigan va ahamiyatsiz parollardan foydalanganligi sababli NPM hisoblarining 13 foiziga (paketlarning 123456 foizi) kirish mumkin edi. Muammolilar orasida eng ommabop 4 ta to‘plamdan 20 ta foydalanuvchi akkaunti, oyiga 13 million martadan ko‘proq yuklab olingan paketli 50 ta akkaunt, oyiga 40 milliondan ortiq yuklangan 10 ta va oyiga 282 milliondan ortiq yuklangan 1 ta akkaunt bor edi. Modullarning bog'liqlik zanjiri bo'ylab yuklanishini hisobga olsak, ishonchsiz hisoblarning buzilishi NPMdagi barcha modullarning 52% gacha ta'sir qilishi mumkin.
Manba: opennet.ru