Github má problém: ukládal obnovená hesla uživatelů jako prostý text

  • Github ukládal hesla uživatelů v čitelném formátu
  • Chybu odhalil během pravidelného auditu
  • Co mají uživatelé dělat?
Github má problém: ukládal obnovená hesla uživatelů jako prostý text

Github je webová hostingová služba pro správu verzí pomocí nástroje git. Používá se většinou pro ukládání programových kódů. V úterý provozovatelé varovali „několik vybraných uživatelů“ s tím, že mohlo dojít k ohrožení jejich bezpečnosti. Kvůli chybě v systému pro obnovu hesla docházelo k ukládání hesel v interních protokolech ve formátu prostého textu.

Server BleepingComputer uvádí, že tato bezpečnostní chyba byla objevena během pravidelného auditu a nikdo, kromě malého počtu zaměstnanců GitHubu, neměl možnost získat přístup k souborům, kde byla hesla uložena. To je zásadní rozdíl proti nepříjemnosti z roku 2016, kdy po získání seznamů s přihlašovacími údaji na GitHub bylo provedeno několik neoprávněných pokusů o přihlášení k účtům, z nichž některé údajně byly úspěšné.

Klepněte pro větší obrázek
Github ukládal hesla uživatelů v čitelném formátu

Řešení situace je tentokrát poměrně jednoduché: dotčení uživatelé byli e-mailem požádáni, aby si obnovili hesla pro přístup ke svým účtům. Ve zprávě se mimo jiné píše, že „GitHub ukládá hesla uživatelů zašifrovaná bezpečným šifrovacím (bcrypt).“ GitHub zdůrazňuje, že neukládá hesla ve formátu prostého textu a používá moderní kryptografické metody. Hesla, uložená v interních protokolech, nebyla v žádném případě napadena nebo ohrožena. Desítky uživatelů pak sdílely snímky e-mailu od GitHubu na sociálních sítích. Řada z nich se zpočátku mylně domnívala, že jde o masivní phishingovou kampaň.

Velký, nebo malý problém?

V tuto chvíli není jasné, jak dlouho vlastně uvedený problém trvá. Lze předpokládat, že se projevoval v poslední době při použití funkce resetování přihlašovacích údajů. BleepingComputer se obrátil na společnost GitHub, aby specifikovala počet dotčených zákazníků, nicméně do dnešního dne nedostal žádnou odpověď.

V posledních letech byla zaznamenána řada případů zranitelností, při kterých byla exponována hesla zákazníků nebo uživatelů v prostém textu na nezabezpečených serverech. Ze známých firem řešil takový problém například americký T-Mobile. V případě GitHubu je však nepravděpodobné, že by někdo „z venku“ mohl získat přístup k protokolům, protože by musel proniknout přes několik bezpečnostních vrstev.

V každém případě je příjemcům e-mailových upozornění doporučeno resetovat své heslo a ujistit se, že stejné přihlašovací údaje nebyly použity na dalších webech.

Diskuze (11) Další článek: Na Facebooku přibude seznamka. Na jednorázovky zapomeňte, hledat se budou celoživotní lásky

Témata článku: Heslo, GitHub, T-Mobile, Text, Poslední doba, Zásadní rozdíl, Prostý text, Nezabezpečený server, Audit, Sociální síť, Programový kód, Interní protokol, Bezpečnostní chyba, E-mailové upozornění, Známá firma, Bezpečnostní vrstva, Uživatelé, Dotčený uživatel, Přihlašovací údaj, Formát, Uvedený problém, Protokol, Vybraný uživatel, Malý problém, Dotčený zákazník

Určitě si přečtěte


Aktuální číslo časopisu Computer

Jak rychlé je nabíjení bez drátů?

Test 11 sluchátek pro hráče

Aplikace, které vám zachrání dovolenou

Kompletní přehled datových tarifů