GitHub

Github má problém: ukládal obnovená hesla uživatelů jako prostý text

  • Github ukládal hesla uživatelů v čitelném formátu
  • Chybu odhalil během pravidelného auditu
  • Co mají uživatelé dělat?
Github má problém: ukládal obnovená hesla uživatelů jako prostý text

Github je webová hostingová služba pro správu verzí pomocí nástroje git. Používá se většinou pro ukládání programových kódů. V úterý provozovatelé varovali „několik vybraných uživatelů“ s tím, že mohlo dojít k ohrožení jejich bezpečnosti. Kvůli chybě v systému pro obnovu hesla docházelo k ukládání hesel v interních protokolech ve formátu prostého textu.

Server BleepingComputer uvádí, že tato bezpečnostní chyba byla objevena během pravidelného auditu a nikdo, kromě malého počtu zaměstnanců GitHubu, neměl možnost získat přístup k souborům, kde byla hesla uložena. To je zásadní rozdíl proti nepříjemnosti z roku 2016, kdy po získání seznamů s přihlašovacími údaji na GitHub bylo provedeno několik neoprávněných pokusů o přihlášení k účtům, z nichž některé údajně byly úspěšné.

Klepněte pro větší obrázek
Github ukládal hesla uživatelů v čitelném formátu

Řešení situace je tentokrát poměrně jednoduché: dotčení uživatelé byli e-mailem požádáni, aby si obnovili hesla pro přístup ke svým účtům. Ve zprávě se mimo jiné píše, že „GitHub ukládá hesla uživatelů zašifrovaná bezpečným šifrovacím (bcrypt).“ GitHub zdůrazňuje, že neukládá hesla ve formátu prostého textu a používá moderní kryptografické metody. Hesla, uložená v interních protokolech, nebyla v žádném případě napadena nebo ohrožena. Desítky uživatelů pak sdílely snímky e-mailu od GitHubu na sociálních sítích. Řada z nich se zpočátku mylně domnívala, že jde o masivní phishingovou kampaň.

Velký, nebo malý problém?

V tuto chvíli není jasné, jak dlouho vlastně uvedený problém trvá. Lze předpokládat, že se projevoval v poslední době při použití funkce resetování přihlašovacích údajů. BleepingComputer se obrátil na společnost GitHub, aby specifikovala počet dotčených zákazníků, nicméně do dnešního dne nedostal žádnou odpověď.

V posledních letech byla zaznamenána řada případů zranitelností, při kterých byla exponována hesla zákazníků nebo uživatelů v prostém textu na nezabezpečených serverech. Ze známých firem řešil takový problém například americký T-Mobile. V případě GitHubu je však nepravděpodobné, že by někdo „z venku“ mohl získat přístup k protokolům, protože by musel proniknout přes několik bezpečnostních vrstev.

V každém případě je příjemcům e-mailových upozornění doporučeno resetovat své heslo a ujistit se, že stejné přihlašovací údaje nebyly použity na dalších webech.

Diskuze (11) Další článek: Na Facebooku přibude seznamka. Na jednorázovky zapomeňte, hledat se budou celoživotní lásky

Témata článku: Heslo, GitHub, T-Mobile, Uvedený problém, Známá firma, Jak, Prostý text, E-mailové upozornění, Malý problém, Vybraný uživatel, Interní protokol, Formát, Dotčený uživatel, PLAINTEXT, Protokol, Zásadní rozdíl, Bezpečnostní vrstva, Sociální síť, Nezabezpečený server, Hostingová služba, Text, Dotčený zákazník, Poslední doba, Programový kód, Bezpečnostní chyba



Korona hra: zvládli byste pandemii lépe než naše vláda? Zkuste si to ve webovém simulátoru

Korona hra: zvládli byste pandemii lépe než naše vláda? Zkuste si to ve webovém simulátoru

** Máte pocit, že naše vláda nezvládá boj s koronavirem? ** Poradili byste si se situací lépe než Andrej Babiš a Jan Blatný? ** Zkuste si to v českém webovém simulátoru Korona hra!

Karel Kilián
COVID-19ČeskoHry
Zahoďte Windows, Linux i macOS. Už roky máme českou Helenku z Matfyzu

Zahoďte Windows, Linux i macOS. Už roky máme českou Helenku z Matfyzu

** Ajťáci z Matfyzu už roky vyvíjejí vlastní systém ** Má grafické rozhraní, tetris a kalkulačku ** Studenti se na něm učí programovat

Jakub Čížek
ČeskoOperační systémy
Nejlepší programy na úpravu fotek: 11 ověřených tipů, placených i zdarma

Nejlepší programy na úpravu fotek: 11 ověřených tipů, placených i zdarma

** Vybrali jsme nejlepší programy pro úpravu fotek ve Windows ** Pokročilé grafické editory upraví fotografie k nepoznání ** Překvapivě použitelné jsou i aplikace na webu nebo dostupné zdarma

Karel Kilián
Grafický editorNejlepší programySoftware
Jak stáhnout video z Youtube: 5 nejlepších nástrojů

Jak stáhnout video z Youtube: 5 nejlepších nástrojů

** Videa nejen z Youtube se hodí stáhnout v případě, že může být smazáno ** Rovněž se hodí možnost získat pouze audio ** Použít lze desktopové aplikace, webové nástroje i doplňky

Stanislav Janů
TipyNejlepší programy