Bitbucket is getting a new navigation

We’re rolling out these changes, so the documentation may not match your experience in the Bitbucket Cloud app. Read about the new Bitbucket navigation

セキュリティ アドバイザリ - 2016-06-17 - パスワードのリセット

Bitbucket ではこの週に、パスワードの誤使用を防ぐため、多数の Bitbucket Cloud アカウントのパスワードのリセットを行いました。

Bitbucket では、Bitbucket Cloud への自動認証テストと見受けられるアクティビティを検出しました。これを受け、自動認証テストが成功している各アカウントのパスワードのリセットを行いました。 

対応の背景について

過去数週間に、流出したユーザー認証情報によるプロファイル情報の流出や不正アクセスが報告されています。Bitbucket Cloud への攻撃でも、このような経路で流出したデータが使用されています。これはパスワードの推測や総当たり攻撃ではなく、また、攻撃に使用された認証情報は、Bitbucket Cloud または Atlassian から流出したものではありません。パスワードのリセットは予防的な措置として行いました。ご不便をおかけしてしまい申し訳ありませんが、不正なアクティビティを確認したための、各ユーザーのアカウントを保護するための対応だったことをご理解いただけますと幸いです。 

ログを確認したところ、攻撃者は、ユーザーのリポジトリの一覧を取得する API を実行していました。これらの呼び出しはさまざまな範囲の IP アドレスから行われました。Bitbucket Cloud の保護プラットフォームに、このアドレスを追加しました。

なお、この攻撃による Atlassian の他のサービスへの影響はありません。

If your password no longer works and you received a password reset email on June 15th, you can use Bitbucket Cloud's forgot password functionality to set your new password. If you used your Bitbucket Cloud password elsewhere, we suggest you change your password on those services to protect your other accounts. 

通知メールを受け取っておらず、引き続きアカウントにログイン可能な場合、そのアカウントは攻撃の影響を受けていません。ただし、引き続きアカウントの保護を強化することをおすすめします。

推奨事項

パスワードのリセットに加えて、Bitbucket Cloud アカウントの安全性を高めるために次のような追加手順を利用することをおすすめします。

  1. Enable two-step verification. This lets you use time-based codes on a mobile device, or special hardware, to protect your account even if someone else gets your password.

  2. Bitbucket Cloud のプロファイルの [セッション] リンクを確認し、アカウントで使用した IP およびブラウザと、それぞれのタイミングを確認する。

  3. 各サービスに固有の強力なパスワードを使用する。複数のサイトでパスワードを使い回すことを避けてください。(LastPass や 1Password などのツールを利用できます)。

  4. パスワードを定期的に変更する(ここでも LastPass や 1Password などのツールを利用できます)。

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容対応の背景について推奨事項
コミュニティ質問、ディスカッション、記事