El popular servicio de almacenamiento de código fuente, GitHub, ha sido recientemente golpeado por un ataque de fuerza bruta para adivinar la contraseñas, el ataque comprometió con éxito algunas cuentas.

"Hemos enviado un correo electrónico a los usuarios con cuentas comprometidas haciéndoles saber qué hacer", dijo el ingeniero de seguridad de GitHub, Shawn Davenport en un blog. "Sus contraseñas se han restablecido y han sido revocadas tanto fichas personales de acceso, autorización OAuth y claves SSH".

Se aconseja a los usuarios que revisen en la página del historial de seguridad de su cuenta los cambios recientes realizados en sus repositorios, así como los intentos fallidos de inicio de sesión, además de habilitar la autenticación de dos factores.

Con el propósito de bloquear los ataques que intentan adivinar la contraseña, GitHub almacena contraseñas de forma segura utilizando la función bcrypt y utiliza un límite intentos limitados para acceder al sistema, dijo Davenport. Sin embargo, en este último incidente, casi 40 mil direcciones IP únicas "se usaron para forzar lentamente contraseñas débiles o contraseñas utilizadas en varios sitios."

Esto sugiere que los atacantes podrían haber tenido una lista de nombres de usuario y contraseñas filtradas de otros sitios web y utilizaron una botnet para probarlos en GitHub.

Una fuga reciente de datos de Adobe dio como resultado un archivo con el registro de las credenciales de acceso de 150 millones de usuarios en Internet. Las contraseñas del archivo se encontraban cifradas pero los investigadores dijeron que el método de cifrado utilizado por Adobe hizo posible que los atacantes adivinarán muchas de las contraseñas.

El número exacto de cuentas a las que  GitHub tendrá que restablecer contraseñas no se reveló. GitHub no ha respondido a las solicitudes de aclaraciones.