この組織アカウントでは2要素認証が使われていなかったようだ。攻撃者に管理者パスワードが推測されたことでトラブルに陥った。
同インシデントのレポートでは、「攻撃者は組織管理者のパスワードへのアクセスを獲得した。収集された痕跡によれば、あるサイトでパスワードに関する仕組みが明らかになったことで、無関係なウェブページのパスワードを推測することが容易になった」と説明されている。
Gentooプロジェクトでは、GitHubの組織アカウントへの参加者に2要素認証を義務づけることに決めた。
推測可能なパスワードだったんか。