2700万程序员受影响？Github明文记录用户密码

发布时间:2018-05-07 14:52 作者:dailydot@安全加beta 来源:安全客点击:加载中...次

程序员依靠Github来安全地托管他们的开源软件项目。但近日Github密码重置功能出现问题，日志中以明文形式记录了用户密码，这可能会让开发人员泄露他们的开发代码及相关敏感信息，并暴露在流行的存储库网站上。Github坚持认为只有Github的2700万用户中的一小部分受到影响。

　　Github密码重置功能出现漏洞日志中以明文形式记录了用户密码

来自dailydot的消息称，Github周二发送了一封电子邮件，警告其密码重置功能出现故障，该密码重置功能在日志中，以明文方式记录了用户密码。该网站确认这些密码只有少数该公司的员工可以访问日志。他们没有向公众发布或提供给其他用户。

Bleeping Computer报道，许多用户将他们收到的电子邮件发布到Twitter，尽管有人认为这是一个网络钓鱼活动。

　　哎呀，pic.twitter.com/Azj3i67zrJ

　　– ??????????? (@ olihough86)2018年5月1日

　　Whoah @ github似乎有#users #password问题。其他人都收到了吗?

　　pic.twitter.com/m8ybsanjBP

　　– SwitHak(@SwitHak)2018年5月1日

　　Github发布的邮件全文如下

　　During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users' passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.

　　GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored secure in production. To note, GitHub has not been hacked or compromised in any way.

　　You can regain access to your account by resetting your passwords using the link below::

　　https://github.com/password_reset

　　Github是在例行的审计中发现了密码明文存储的问题

据BleepingComputer的报道，在定期审核期间发现的安全漏洞仅影响最近重置密码的用户。受影响的程序员们会再次收到重置密码的邀请。

该公司表示，纯文本密码只暴露给了少数员工访问日志。目前尚不清楚密码泄漏的时间长短，但基于已经有Github的2700万用户中的一部分受到影响这个事实，这表示这个安全漏洞已经存在一段时间了。

Github强调，它并不是此次漏洞攻击的受害者。 2016年6月，软件开发平台被迫发布密码重置后，有攻击者开始获得访问帐户，从其他被入侵的网站利用他们，如LinkedIn、Dropbox和MySpace窃取的密码。

在给受影响人员的电子邮件中，Github解释说它使用安全的“密码哈希(bcrypt)”存储密码，“这是一种功能强大的加密算法，不是纯文本。 “我们使用现代加密方法来确保密码在生产中安全存储。”

Github似乎已经解决了这个问题。如果您收到来自该平台的电子邮件，我们强烈建议您更新密码。

(责任编辑：安博涛)