GitHub

Github má problém: ukládal obnovená hesla uživatelů jako prostý text

  • Github ukládal hesla uživatelů v čitelném formátu
  • Chybu odhalil během pravidelného auditu
  • Co mají uživatelé dělat?
Github má problém: ukládal obnovená hesla uživatelů jako prostý text

Github je webová hostingová služba pro správu verzí pomocí nástroje git. Používá se většinou pro ukládání programových kódů. V úterý provozovatelé varovali „několik vybraných uživatelů“ s tím, že mohlo dojít k ohrožení jejich bezpečnosti. Kvůli chybě v systému pro obnovu hesla docházelo k ukládání hesel v interních protokolech ve formátu prostého textu.

Server BleepingComputer uvádí, že tato bezpečnostní chyba byla objevena během pravidelného auditu a nikdo, kromě malého počtu zaměstnanců GitHubu, neměl možnost získat přístup k souborům, kde byla hesla uložena. To je zásadní rozdíl proti nepříjemnosti z roku 2016, kdy po získání seznamů s přihlašovacími údaji na GitHub bylo provedeno několik neoprávněných pokusů o přihlášení k účtům, z nichž některé údajně byly úspěšné.

Klepněte pro větší obrázek
Github ukládal hesla uživatelů v čitelném formátu

Řešení situace je tentokrát poměrně jednoduché: dotčení uživatelé byli e-mailem požádáni, aby si obnovili hesla pro přístup ke svým účtům. Ve zprávě se mimo jiné píše, že „GitHub ukládá hesla uživatelů zašifrovaná bezpečným šifrovacím (bcrypt).“ GitHub zdůrazňuje, že neukládá hesla ve formátu prostého textu a používá moderní kryptografické metody. Hesla, uložená v interních protokolech, nebyla v žádném případě napadena nebo ohrožena. Desítky uživatelů pak sdílely snímky e-mailu od GitHubu na sociálních sítích. Řada z nich se zpočátku mylně domnívala, že jde o masivní phishingovou kampaň.

Velký, nebo malý problém?

V tuto chvíli není jasné, jak dlouho vlastně uvedený problém trvá. Lze předpokládat, že se projevoval v poslední době při použití funkce resetování přihlašovacích údajů. BleepingComputer se obrátil na společnost GitHub, aby specifikovala počet dotčených zákazníků, nicméně do dnešního dne nedostal žádnou odpověď.

V posledních letech byla zaznamenána řada případů zranitelností, při kterých byla exponována hesla zákazníků nebo uživatelů v prostém textu na nezabezpečených serverech. Ze známých firem řešil takový problém například americký T-Mobile. V případě GitHubu je však nepravděpodobné, že by někdo „z venku“ mohl získat přístup k protokolům, protože by musel proniknout přes několik bezpečnostních vrstev.

V každém případě je příjemcům e-mailových upozornění doporučeno resetovat své heslo a ujistit se, že stejné přihlašovací údaje nebyly použity na dalších webech.

Diskuze (11) Další článek: Na Facebooku přibude seznamka. Na jednorázovky zapomeňte, hledat se budou celoživotní lásky

Témata článku: T-Mobile, Heslo, GitHub, Bezpečnostní vrstva, Text, Programový kód, Vybraný uživatel, Nezabezpečený server, Poslední doba, PLAINTEXT, Dotčený uživatel, E-mailové upozornění, Hesl, Malý problém, Dotčený zákazník, Uvedený problém, Formát, Audit, Protokol, Git, Přihlašovací údaj, Interní protokol, Hostingová služba, Uživatelé, Bezpečnostní chyba


Určitě si přečtěte

Android Auto a Apple CarPlay představují v autech větší nebezpečí než alkohol v těle řidiče

Android Auto a Apple CarPlay představují v autech větší nebezpečí než alkohol v těle řidiče

Výsledky této studie vás zřejmě vůbec nepřekvapí. Aspoň tak ale můžeme obecně známý názor podložit čísly.

Daniel Fuglevič | 27

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

** V roce 2021 začneme platit DPH i u laciného zboží z asijských e-shopů ** Daň ale budeme většinou platit už na e-shopech ** Nemusíte se bát zdlouhavého a drahého celního řízení

Jakub Čížek | 72

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

ReactOS: Zapomenuté a open-source Windows, které nevyrobil Microsoft

** Představte si svobodné Windows. Bláznivá vize? ** Vývojáři je přitom začali psát už před více než dvaceti lety ** Jmenují se ReactOS a spustíte na nich i Total Commander

Jakub Čížek | 54


Aktuální číslo časopisu Computer

Megatest 21 grafických karet

AMD poráží Intel už i v notebooku

Jak vytvořit 3D fotky v mobilu

Nejlepší fotoaparáty do 30 000 Kč