2020 ma ahan sanad wanaagsan xaga amaanka computerka. David u sheegay maalin kale iibinta xisaabaadka Zoom. Waxayna umuuqataa taas markan waxay ahayd marki GitHub, Microsoft martigalintiisa iyo adeegga xakamaynta nooca. Waxaa la sheegay in inbadan oo kamid ah isticmaaleyaasheeda ayaa ah dhibanayaal olole phishing ah oo loogu talagalay gaar ahaan in la aruuriyo oo laga xado aqoonsigooda iyada oo loo marayo boggaga apocryphal ee shabahaya bogga galitaanka GitHub.
Akoonnada GitHub waa la xaday. Khatar dhab ah oo loogu talagalay horumariyeyaasha iyo isticmaaleyaasha
Isla markii uu koontaroolay koonto, ayuuWeeraryahannadu waxay sii wadaan inay soo dejiyaan waxyaabaha ku jira keydadka gaarka loo leeyahay dib u dhac la'aan, isagoo xoojinaya kuwa Iyagu waa hantida xisaabaadka hay'adda iyo kuwa kale ee la shaqeeya.
Sida laga soo xigtay Kooxda Kajawaabista Dhacdooyinka Amniga ee GitHub (SIRT), kuwani waa halista
Haddii weeraryahanku si guul leh u xado aqoonsiyada koontada isticmaalaha GitHub, waxay si dhakhso leh u abuuri karaan astaamo marin-u-helitaan GitHub ah ama u oggolaan karaan codsiyada OAuth ee koontada si loo ilaaliyo marin u helista haddii ay dhacdo in adeegsaduhu beddelo lambarkooda sirta ah.
Sida laga soo xigtay SIRT, ololahan been abuurka ah ee loo yaqaan Sawfish, waxay saameyn ku yeelan kartaa dhammaan xisaabaadka GitHub ee firfircoon.
Qalabka ugu muhiimsan ee lagu galo xisaabaadka ayaa ah emayl. Farriimaha waxay adeegsadaan xeelado kala duwan si ay u helaan dadka qaata inay gujiyaan xiriirka xun ee qoraalka ku jira: qaar waxay dhahaan nashaadaad aan la fasaxin ayaa la ogaaday, halka kuwa kale ay sheegaan isbeddelada keydka ama goobaha koontada isticmaale bartilmaameedka.
Isticmaalayaasha ku dhaca khiyaanada oo guji si aad u hubiso waxqabadka koontadooda Kadib waxaa loo wareejiyaa bogga GitHub ee been-abuurka ah ee soo ururiya aqoonsiyadooda una diraan server-yada uu gacanta ku hayo qofka weerarka qaaday.
Bogga beenta ah ee ay adeegsadeen kooxda weerarka soo qaaday waxaad sidoo kale heli doontaa labada lambar ee aqoonsiga aqoonsiga waqtiga dhabta ah dhibbanayaasha haddii ay adeegsanayaan barnaamij moobil oo keliya oo waqti ku saleysan (TOTP).
SIRT illaa iyo hadda, xisaabaadka ay ilaalinayaan furayaasha amniga ee ku saleysan qalabka uma nugul weerarkan.
Sidan ayaa weerarku u shaqeeyaa
Inta la ogyahay, dhibbanayaasha la doorbiday ee ololahan phishing-ku waa kuwa hadda isticmaala GitHub firfircoon oo u shaqeeya shirkadaha tiknoolajiyada ee dalal kala duwan oo waxay ku sameeyaan iyagoo adeegsanaya cinwaanno emayl ah oo si guud loo yaqaan.
Si aad u soo dirto emayllada phishing se isticmaal cinwaanno sharciyeysan, adigoo adeegsanaya server-yada emaylka ee hore u xumaaday ama adigoo kaashanaya aqoonsiyadaha API ee la xaday ka yimid adeeg bixiyeyaasha emailka badan ee sharciga ah.
Weeraryahannadii tWaxay sidoo kale adeegsadaan adeegyada yareynta URL loogu talagalay in lagu qariyo URL-yada bogagga soo degitaanka. Xitaa waxay isku xirxiraan adeegyo badan oo URL gaabin ah si loo ogaado in xitaa dhib badan tahay. Intaa waxaa sii dheer, isticmaalka wareejinta ku saleysan PHP ee ka imanaya goobaha waxyeelleeyay ayaa la ogaaday.
Siyaabaha qaarkood ee aad iskaga difaaci karto weerarka
Marka loo eego talooyinka kuwa mas'uulka ka ah amniga, way ku habboon tahay haddii aad leedahay xisaab GitHub inaad sameyso waxyaabaha soo socda:
- Beddel lambarka sirta ah
- Dib ugu celi xeerarka soo-kabashada laba tallaabo.
- Dib u eeg astaamaha gelitaanka shaqsiyeed.
- U beddel qalab ama xaqiijin WebAuthn.
- Adeegso maareeyaha ereyga sirta ah ee furaha kumbuyuutarka. Kuwani waxay bixiyaan ilaalin ka dhan ah kalluumeysiga maadaama ay ogaan doonaan inaysan ahayn xiriir horay loo soo booqday.
Dabcan, mid aan waligiis dhicin. Waligaa ha riixin xiriir lagugu soo diray emayl. Ku qor cinwaanka gacanta ama ku hayso calaamado.
Sikastaba, waa war layaab leh. Kama wada hadleyno shabakad bulsheed laakiin barta sida ku cad sharraxdeeda ay tahay:
madal horumarineed oo iskaashi software ah si loogu martigaliyo mashaariicda iyadoo la adeegsanayo nidaamka xakamaynta nooca Git. Koodhku si guud ayaa loo keydiyaa, in kasta oo waliba si gaar ah loo samayn karo ...
Si kale haddii loo dhigo, adeegsadayaasheeda ayaa ah dadka abuura barnaamijyada aan isticmaalno sidaas darteedna waa inay ku daraan astaamaha amniga. Waxay u egtahay sida wax laga xado Waaxda Booliska.