GitHub รายงานข้อมูลเพิ่มเติมจากเหตุโทเค็น OAuth รั่วไหลเมื่อเดือนเมษายนที่ผ่านมา พบว่าคนร้ายได้รับข้อมูลมากกว่าซอร์สโค้ดของ npm เอง โดยคนร้ายได้ฐานข้อมูล ชื่อผู้ใช้, อีเมล, และค่าแฮชรหัสผ่าน ของผู้ใช้ประมาณ 100,000 คนไปด้วย
ข้อมูลที่หลุดไปอยู่ในไฟล์สำรองข้อมูลของเว็บ skimdb.npmjs.com ที่สำรองไว้ตั้งแต่วันที่ 7 เมษายน 2021 ในไฟล์ข้อมูลยังมี metadata ของแพ็กเกจส่วนตัวทั้งหมด, และแพ็กเกจภายในขององค์กรสององค์กร
ตอนนี้ npm ไม่อนุญาตให้ผู้ใช้ล็อกอินด้วยรหัสผ่านอย่างเดียว โดยหากไม่ได้เปิดการล็อกอินสองขั้นตอนก็จะยืนยันอีเมลซ้ำอยู่ดี ทำให้คนร้ายไม่สามารถแฮกบัญชีผู้ใช้ได้ แต่ตอนนี้ก็ได้รีเซ็ตรหัสผ่านของผู้ใช้ที่ได้รับผลกระทบทั้งหมดแล้ว
ที่มา – GitHub
———————————————————————————————————————–
ที่มา : Blognone by lew / วันที่เผยแพร่ 27 พ.ค.65
Link : https://www.blognone.com/node/128706
