На GitHub обрушилась необычная DDoS-атака

Александр Панасенко 29 Марта 2015 - 10:59

...

Сегодня популярный хостинг открытого кода GitHub подвергся крупной DDoS-атаке, которая привела к кратковременным перебоям в работе сервиса. Атака заслуживает внимания в силу необычности её организации и подозрений на испытание новых методов цензурирования контента.

Метод проведения атаки подразумевал наличие доступа к пограничному оборудованию, размещённому между китайским и мировым сегментами сети, предположительно атака была проведена не без участия "Великого китайского файрвола". Атака сводилась к тому, что для пользователей некитайских сетей, осуществлялась подмена JavaScript-кода сервисов Baidu Analytics и Baidu Ads, вместо которого добавлялся код, осуществляющий отправку цикличных запросов к GitHub. Baidu Analytics и Baidu Ads является крупнейшими в Китае службой web-аналитики и рекламной сетью, и используется на многих китайских сайтах (популярность данных сервисов может сравниться с Google Analytics и Google Ads). При открытии таких сайтов легитимный пользователь получал вредоносный код и невольно становился участником DDoS-атаки. При этом подмена осуществлялась только для пользователей не китайских сетей, пишет opennet.ru.

В Китае уже неоднократно предпринимались попытки ограничения доступа к GitHub из-за размещения на данном сервисе неугодного властям контента. В процессе DDoS-атаки запросы пользователей направлялись на содержащие подобную информацию репозитории github.com/greatfire и github.com/cn-nytimes/, с расчётом на то, что они будут закрыты чтобы остановить атаку. Вредоносный скрипт подразумевал отправку запросов на данные страницы раз в 2 секунды, что было незаметно для пользователя, но привело к огромной волне запросов на GitHub. В настоящее время GitHub вынужден установить для данных страниц заглушки, предупреждающие о проведении атаки. В частности, при запросе данных страниц выводится JavaScript-код alert("WARNING: malicious javascript detected on this domain"), приводящий к выводу диалогового окна, что блокирует цикл отправки запросов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июля 2025 - 15:29

Домашние пользователи Корпорации Системы аутентификации Passkey (ключ доступа)Биометрические системы аутентификации Парольная защита (пароли) Яндекс

94% пользователей Яндекс ID перешли на вход без пароля

Сервис Яндекс ID существует уже 25 лет. Сейчас это не просто способ авторизации, а единый аккаунт, с которым люди входят в разные сервисы. Ежедневно через него активны более 136 миллионов аккаунтов — это на 15% больше, чем год назад. Главное изменение последних лет — резкий рост беспарольной аутентификации.

В 2023 году такие способы использовали 46% пользователей, в 2024 — уже 68%, а в 2025 — 94%. Люди всё чаще отказываются от паролей в пользу одноразовых кодов, отпечатков пальцев или распознавания лица. Например, вход по биометрии за год подключили более 16 миллионов человек.

Наиболее популярный способ — код из СМС (43% пользователей), за ним идёт пуш-уведомление (37%), ещё 7% используют логин и код из пуша. В зависимости от возраста и привычек предпочтения отличаются: старшие пользователи чаще выбирают СМС, молодёжь — пуши.

Мужчины чаще используют биометрию и QR-коды, женщины — вход по номеру телефона. Всё это снижает нагрузку на память (не нужно запоминать пароли) и повышает безопасность.

При этом сама система авторизации активно защищается: только в прошлом году было предотвращено 4,4 млн попыток входа с украденными паролями.

Напомним, в октябре прошлого года Яндекс ID подтвердил соответствие Отраслевому стандарту защиты данных. Не так давно мы также писали, что в Яндекс ID появилась возможность проверить и повысить защиту аккаунта.

В феврале 2024-го Яндекс ID добавил аутентификацию с помощью сканирования отпечатка пальца или лица.