This post is also available in: Português
Na última quarta-feira, 04, o GitHub anunciou uma importante mudança. Com o intuito de aumentar a segurança dos usuários, a plataforma vai exigir que todos os desenvolvedores cadastrados habilitem uma ou mais formas de autenticação de dois fatores (2FA) para acesso ao serviço até o final de 2023.
Segundo Mike Hanley, Chief Security Officer do GitHub, a cadeia de fornecimento de software começa com o desenvolvedor. Proteger os desenvolvedores desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de fornecimento de software.
Em novembro de 2021, o GitHub anunciou o compromisso de investir na segurança de contas NPM (Node Package Manager – uma ferramenta do Node.js para o gerenciamento de pacotes), após a invasão de contas de desenvolvedores que não tinham o 2FA habilitado.
A maioria das violações de segurança envolvem ataques de baixo custo, como engenharia social, roubo ou vazamento de credenciais e outros caminhos que fornecem aos invasores uma ampla gama de acesso as contas das vítimas e aos recursos que eles têm acesso.
Hanley faz um alerta sobre as contas comprometidas, que podem vir a ser usadas para roubar código privado ou enviar alterações maliciosas a esse código. Isso coloca em risco não apenas os indivíduos e organizações associadas às contas comprometidas, mas também qualquer usuário do código afetado. Esses ataques têm um grande potencial de impacto em todo o ecossistema de software, assim como na sua cadeia de fornecimento.
Autenticação 2FA possui baixa adesão
Mesmo se tratando de uma ferramenta que fornece proteção adicional significativa para as contas online, a autenticação 2FA ainda é pouco utilizada no GitHub. Atualmente, apenas 16,5% dos usuários ativos têm a medida de segurança aprimorada habilitada em seus perfis.
A baixa adesão ao mecanismo é um dos motivos que pesou a obrigatoriedade do 2FA na plataforma. O serviço também conta com outros recursos, como suporte às chaves de segurança WebAuthn e a verificação de dispositivo baseada em e-mail.
O GitHub fornece informações detalhadas sobre como configurar o 2FA para sua conta GitHub, recuperar contas ao perder credenciais 2FA e desabilitar o 2FA para contas pessoais.
Embora o 2FA baseado em SMS também seja uma opção, o GitHub recomenda a mudança para chaves de segurança ou TOTPs, pois os cibercriminosos podem ignorar ou roubar tokens de autenticação SMS 2FA.
Vale ressaltar que os proprietários de organizações e empresas do GitHub.com também podem exigir 2FA dos membros de suas organizações e empresas. Os usuários que não usam 2FA serão removidos quando essas configurações forem habilitadas.
Fontes: BleepingComputer, GitHub.
This post is also available in: Português
