セキュリティ勧告 - 2016-06-17 - パスワード リセット

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

robotsnoindex
robotsnoindex

Bitbucket ではこの週に、パスワードの誤使用を防ぐため、多数の Bitbucket Cloud アカウントのパスワードのリセットを行いました。

Bitbucket では、Bitbucket Cloud への自動認証テストと見受けられるアクティビティを検出しました。これを受け、自動認証テストが成功している各アカウントのパスワードのリセットを行いました。 

対応の背景について

You may have heard about some high profile breaches and subsequent unauthorised publication of stolen user credentials in the past few weeks. We believe the password data from one or more of these breaches was used in this attack against Bitbucket Cloud. This was not a password guessing or brute forcing attack, and the credentials used in the attack did not come from Bitbucket Cloud or Atlassian. We reset your password as a precaution, and apologize for any inconvenience this may have caused but we wanted to secure your account when we noticed the suspicious activity. 

ログを確認したところ、攻撃者は、ユーザーのリポジトリの一覧を取得する API を実行していました。これらの呼び出しはさまざまな範囲の IP アドレスから行われました。Bitbucket Cloud の保護プラットフォームに、このアドレスを追加しました。

We can also confirm that no other Atlassian services were affected by this attack.

パスワードを利用することができず、6 月 15 日にパスワード リセットのメールを受け取っている場合、Bitbucket Cloud のパスワード リセット機能を利用して新しいパスワードを設定できます。Bitbucket Cloud のパスワードをほかの場所でも使用している場合、それらのサービスでもパスワードを変更して、他のアカウントを保護することをおすすめします。 

通知メールを受け取っておらず、引き続きアカウントにログイン可能な場合、そのアカウントは攻撃の影響を受けていません。ただし、引き続きアカウントの保護を強化することをおすすめします。

推奨事項

パスワードのリセットに加えて、Bitbucket Cloud アカウントの安全性を高めるために次のような追加手順を利用することをおすすめします。

  1. 2 段階認証の有効化。これにより、モバイル デバイスまたは特別なハードウェアに表示されるリアルタイム生成コードを使用できるため、パスワードが流出してもアカウントを保護できます。
  2. Bitbucket Cloud のプロファイルの [セッション] リンクを確認し、アカウントで使用した IP およびブラウザと、それぞれのタイミングを確認する。
  3. 各サービスに固有の強力なパスワードを使用する。複数のサイトでパスワードを使い回すことを避ける (LastPass や 1Password などのツールを利用できます)。
  4. パスワードを定期的に変更する (ここでも LastPass や 1Password などのツールを利用できます)。
最終更新日 2020 年 6 月 24 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.