Новости и события » Hi-Tech » Более половины npm-пакетов могут быть скомпрометированы из-за тривиальных паролей доступа

Более половины npm-пакетов могут быть скомпрометированы из-за тривиальных паролей доступа

Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надежности паролей для доступа к учетным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456" Среди подобных учетных записей есть и популярные модули, которые находятся в зависимостях у других проектах. С учетом загрузки других модулей по цепочке зависимостей, компрометация ненадежных учетных записей может поразить в сумме до 52% от всех модулей в NPM.

Всего удалось получить доступ к 15495 учетным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учетным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Компания NPM Inc приняла исследование во внимание и инициировала процесс смены паролей для ненадежных учетных записей.

Контроль над 2545 учетными записями (5470 пакетов) был получен в ходе проведения Bruteforce-атаки по подбору типовых паролей. Данные об 12150 учетных записях (57112 пакетов) были получены путем использования сведений из крупных публичных утечек баз паролей. Допуск к 732 учетным записям (4786 пакетов) удалось получить путем варьирования пароля из публичных утечек (например, добавление цифр, замена имени на npm и т. п.). Контроль над оставшимися 120 проблемными учетными записями (582 пакета) был получен через подбор типовых паролей к сторонним серисами, таким как GitHub и Google.

Некоторые интересные факты:

  • В учетной записи для доступа к модулю koa, который в прошлом месяце был загружен 300 тысяч раз, использовался пароль "password";
  • Один из пользователей, контролирующий более 20 млн загрузок в месяц, в ответ на отзыв скомпрометированного пароля, установил в качестве нового пароля содержимое старого, добавив к нему символ "!";
  • Пользователь, входящий в top-20, после сброса скомпрометированного пароля опять вернул свой старый пароль через некоторое время;
  • У 662 пользователей был установлен пароль "123456", у 168 - "123", у 115 - "password";

  • 1409 пользователей (1%) указали в качестве пароля свой логин;
  • Посоле сброса паролей 9.7% пользователей сразу вернули свой старый заведомо скомпрометированный пароль, а 0.6% вернули старый пароль, но внеся в него незначительное изменение;

  • Общий размер всех пакетов, к которым был получен доступ в ходе исследования, составило почти два миллиарда (1 946 302 172) загрузок в месяц, что составляет 20% от общего объема загрузок.

Карл Пей представил новый дизайн Nothing OS 3.0

Карл Пей представил новый дизайн Nothing OS 3.0

Ожидается несколько нововведений. Например, можно будет выбрать один из трех вариантов оформления экрана блокировки: Default, Clock+Widgets и Expanded Widget Area. В первом случае на экране отображаются крупные часы и дата, во втором добавляются компактные...

сегодня 09:15

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх