Github má problém: ukládal obnovená hesla uživatelů jako prostý text

  • Github ukládal hesla uživatelů v čitelném formátu
  • Chybu odhalil během pravidelného auditu
  • Co mají uživatelé dělat?
Github má problém: ukládal obnovená hesla uživatelů jako prostý text

Github je webová hostingová služba pro správu verzí pomocí nástroje git. Používá se většinou pro ukládání programových kódů. V úterý provozovatelé varovali „několik vybraných uživatelů“ s tím, že mohlo dojít k ohrožení jejich bezpečnosti. Kvůli chybě v systému pro obnovu hesla docházelo k ukládání hesel v interních protokolech ve formátu prostého textu.

Server BleepingComputer uvádí, že tato bezpečnostní chyba byla objevena během pravidelného auditu a nikdo, kromě malého počtu zaměstnanců GitHubu, neměl možnost získat přístup k souborům, kde byla hesla uložena. To je zásadní rozdíl proti nepříjemnosti z roku 2016, kdy po získání seznamů s přihlašovacími údaji na GitHub bylo provedeno několik neoprávněných pokusů o přihlášení k účtům, z nichž některé údajně byly úspěšné.

Klepněte pro větší obrázek
Github ukládal hesla uživatelů v čitelném formátu

Řešení situace je tentokrát poměrně jednoduché: dotčení uživatelé byli e-mailem požádáni, aby si obnovili hesla pro přístup ke svým účtům. Ve zprávě se mimo jiné píše, že „GitHub ukládá hesla uživatelů zašifrovaná bezpečným šifrovacím (bcrypt).“ GitHub zdůrazňuje, že neukládá hesla ve formátu prostého textu a používá moderní kryptografické metody. Hesla, uložená v interních protokolech, nebyla v žádném případě napadena nebo ohrožena. Desítky uživatelů pak sdílely snímky e-mailu od GitHubu na sociálních sítích. Řada z nich se zpočátku mylně domnívala, že jde o masivní phishingovou kampaň.

Velký, nebo malý problém?

V tuto chvíli není jasné, jak dlouho vlastně uvedený problém trvá. Lze předpokládat, že se projevoval v poslední době při použití funkce resetování přihlašovacích údajů. BleepingComputer se obrátil na společnost GitHub, aby specifikovala počet dotčených zákazníků, nicméně do dnešního dne nedostal žádnou odpověď.

V posledních letech byla zaznamenána řada případů zranitelností, při kterých byla exponována hesla zákazníků nebo uživatelů v prostém textu na nezabezpečených serverech. Ze známých firem řešil takový problém například americký T-Mobile. V případě GitHubu je však nepravděpodobné, že by někdo „z venku“ mohl získat přístup k protokolům, protože by musel proniknout přes několik bezpečnostních vrstev.

V každém případě je příjemcům e-mailových upozornění doporučeno resetovat své heslo a ujistit se, že stejné přihlašovací údaje nebyly použity na dalších webech.

Diskuze (11) Další článek: Na Facebooku přibude seznamka. Na jednorázovky zapomeňte, hledat se budou celoživotní lásky

Témata článku: Heslo, GitHub, T-Mobile, Audit, Známá firma, Text, Formát, Bezpečnostní vrstva, Dotčený uživatel, Zásadní rozdíl, Programový kód, Poslední doba, Protokol, Nezabezpečený server, E-mailové upozornění, Sociální síť, Interní protokol, Bezpečnostní chyba, Uvedený problém, Uživatelé, Prostý text, Dotčený zákazník, Vybraný uživatel, Přihlašovací údaj, Malý problém


Určitě si přečtěte

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

Jak dopadl velký den Applu s náloží novinek: Sledujte, co letos připravil

** Apple večer představil novinky ** Ukáže nové operační systémy, ale čekala se i nová zařízení ** Začíná vývojářská konference Applu WWDC 2018

Karel Javůrek | 87

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

** Dlouho se nevědělo, co to přesně má být ** Pak se s krabičkou Google pochlubil na I/O ** Do „Chromecastu“ vtěsnal celý Android TV

Jakub Čížek | 24

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji