Phishing Ärger bei github?

[the other]

Moinsen,
für Entwickler, die den Dienst von Github nutzen (oder Menschen, die dort allgemein ein Konto haben), sei vor dem Wochenende noch kurz auf diese Warnung / Meldung hingewiesen:
https://www.heise.de/news/Erpresser...en-Daten-ab-und-loeschen-Inhalte-9751516.html

Scheinbar per Phishing Attacke per falscher Warn-Mails konnten sich böse Menschen Zugriff auf github-Konten erschleichen, Code löschen oder (fast noch schlimmer meiner Meinung nach) Zugriff auf Entwicklerprojekte bzw deren Code bekommen...und damit ggf. auch schadhaften Code einfügen.

Das Problem scheint schon länger (seit Anfang 2024) bekannt, es gab auch zuletzt im Juni wohl noch solche unbefugten Zugriffe. User wurde auch erpresst, um wieder an ihre Projektdaten zu gelangen. Steht alles im Artikel.

Und als Vorbeugung wird genau das empfohlen, was hier so gebetsmühlenartig nahezu wöchentlich angesprochen wird: Nutzt 2FA und Passkeys!!
(wie letzte Woche erst aus anderem Anlass hier angemerkt: https://forum.heimnetz.de/threads/t...erneuter-leak-von-nutzerdaten-im-umlauf.4843/

Also: DO IT! In Abwandlung...kein 2FA, keine sichere Passwortwahl, zu faul für Passkeys, kein backup > KEIN MITLEID!

 

[Tommes]

Nutzt 2FA…

Ich meine mich daran zu erinnern, das mich GitHub vor nicht all zu langer Zeit förmlich dazu genötigt hat, 2FA zu aktivieren. Und wie in diesem, von heise.de veröffentlichten Artikel zu lesen ist, soll 2FA bis Endes des Jahres eh für jeden Nutzer verpflichtend sein. Daher ist es mir fast schon unbegreiflich, wieso grade die Entwickler, die innerhalb ihrer Projekte mit vertraulichen bzw. sensiblen Daten hantieren, sich eben nicht mittels 2FA absichern. Passkeys sind für mich zur aktuell aber auch noch ein wenig spooky, daher warte ich noch ein wenig ab.

 

[the other]

Moinsen,

Daher ist es mir fast schon unbegreiflich, wieso grade die Entwickler, die innerhalb ihrer Projekte mit vertraulichen bzw. sensiblen Daten hantieren, sich eben nicht mittels 2FA absichern.

Einerseits weiß ich genau, was du meinst...erscheint paradox.
Andererseits: Beim Zivildienst (gab es früher mal, liebe Kinder...) war ich auch erstaunt: viele der Thoraxchirurgen saßen zwischen den OPs im Raucherraum und ziehen mal eben ne halbe Packung Fluppen durch in 30 Minuten, bevor sie dann die nächste OP haben, in der (oft) die Folgen des Rauchens in mehrstündigen OPs weggeschnibbelt werden...
Sind am Ende eben auch nur Menschen. Herzchirurgen wie Softwareentwickler.

Ich selber spiele auch seit ein paar Wochen mit Passkeys. Hatte vorher zwar schon lange Zeit mit Hardwarekeys gearbeitet, aber das device (Androids) selber als Passkey nutzen, das ist hier auch erst ein paar Wochen alt. Alternativ (weil Linux) habe ich auch ein paar mit KeypassXC hinterlegt, das ist ebenfalls komfortabel (wenn auch wohl nicht ganz so sicher, wie die Hardware Passkeys).
Für einige keepass Datenbanken nutze ich auch die Hardwarekeys zum Öffnen, das funktioniert ebenfalls gut. Und für die Synos geht für die Admininstratoren ebenfalls: Passkey als login Option bei 2fa. Für die normalen User auch gerne ohne Passwort nur mit Passkey. Insgesamt bisher sehr komfortabel, die Nummer.