密码猜测被用来攻击Gentoo Linux Github帐户

黑客不仅成功地改变了受损存储库中的内容，还将Gentoo开发者从GitHub组织中拒之门外。

由于这起事件，开发商在五天内无法使用GitHub。

出什么事了？

Gentoo开发人员透露，攻击者在猜测其Github帐户密码后，能够获得该帐户的管理权限。

如果该组织使用双因素身份验证，则该组织可能会被拯救。双因素身份验证需要在密码之外添加一个密码，才能访问该帐户。

Gentoo在其事件报告中写道：“攻击者获得了一名组织管理员的密码。收集到的证据表明，有一个密码方案，在一个网站上泄露，很容易猜测无关网页的密码。”。

除此之外，Gentoo开发者也没有GitHub组织细节的备份。另外？systemd回购协议也没有从Gentoo镜像，而是直接存储在GitHub上。

什么进展顺利？（幸运的是）

然而，Gentoo认为该项目幸运的是，攻击是“响亮的”，因为将所有其他开发人员赶出目标GitHub帐户导致他们收到电子邮件。

Gentoo和Github的快速行动在大约70分钟内结束了攻击。

Gentoo的维护人员说：“攻击声音很大；删除所有开发人员导致每个人都收到电子邮件。”。“考虑到所获取的凭据，更安静的攻击可能会提供更长的机会窗口。”

此外，该报告还补充说，通过强制推送试图删除所有文件的提交，攻击者使“下游消费更加明显”，这可能最终“阻止git在“git pull”上悄悄地将新内容拉入现有签出中”

正如该项目之前所说，Gentoo的主要存储库保存在Gentoo托管的基础设施上，Gentoo镜像到GitHub，以便“成为贡献者所在的地方”

因此，该帐户的私钥没有受到事件的影响，因此Gentoo托管的基础设施也没有受到影响。

网络攻击的影响

由于这起事件，Gentoo代理维护者项目受到了影响，因为许多代理维护者贡献者使用GitHub提交拉请求，过去的所有拉请求也都与原始提交断开并关闭。

攻击者还试图向各种存储库添加“rm-rf”命令，如果执行这些命令，就会递归删除用户数据。然而，由于各种技术保护措施的存在，最终用户不太可能执行该代码。

rm是一个Unix命令，用于删除文件、目录和类似内容，rm-rf表示更强制的删除，这“将导致从当前文件系统访问的所有文件都从机器上删除”

为防止未来网络攻击而采取的措施

事件发生后，Gentoo采取了许多措施来防止未来发生此类攻击。这些行动包括：

• 频繁备份其GitHub组织。
• 在Gentoo的GitHub组织中，默认情况下启用双因素身份验证，该组织最终将访问项目存储库的所有用户。
• 制定事故响应计划，尤其是与用户共享安全事故信息。
• 收紧吊销证件的程序。
• 减少具有提升权限的用户数量、审核登录和发布强制使用密码管理器的密码策略。
• 为Gentoo开发者引入对基于硬件的2FA的支持

目前，尚不清楚Gentoo黑客的幕后黑手是谁。Gentoo没有说明是否已向执法部门报告该事件，以追捕黑客。