GitHub

Github má problém: ukládal obnovená hesla uživatelů jako prostý text

  • Github ukládal hesla uživatelů v čitelném formátu
  • Chybu odhalil během pravidelného auditu
  • Co mají uživatelé dělat?
Github má problém: ukládal obnovená hesla uživatelů jako prostý text

Github je webová hostingová služba pro správu verzí pomocí nástroje git. Používá se většinou pro ukládání programových kódů. V úterý provozovatelé varovali „několik vybraných uživatelů“ s tím, že mohlo dojít k ohrožení jejich bezpečnosti. Kvůli chybě v systému pro obnovu hesla docházelo k ukládání hesel v interních protokolech ve formátu prostého textu.

Server BleepingComputer uvádí, že tato bezpečnostní chyba byla objevena během pravidelného auditu a nikdo, kromě malého počtu zaměstnanců GitHubu, neměl možnost získat přístup k souborům, kde byla hesla uložena. To je zásadní rozdíl proti nepříjemnosti z roku 2016, kdy po získání seznamů s přihlašovacími údaji na GitHub bylo provedeno několik neoprávněných pokusů o přihlášení k účtům, z nichž některé údajně byly úspěšné.

Klepněte pro větší obrázek
Github ukládal hesla uživatelů v čitelném formátu

Řešení situace je tentokrát poměrně jednoduché: dotčení uživatelé byli e-mailem požádáni, aby si obnovili hesla pro přístup ke svým účtům. Ve zprávě se mimo jiné píše, že „GitHub ukládá hesla uživatelů zašifrovaná bezpečným šifrovacím (bcrypt).“ GitHub zdůrazňuje, že neukládá hesla ve formátu prostého textu a používá moderní kryptografické metody. Hesla, uložená v interních protokolech, nebyla v žádném případě napadena nebo ohrožena. Desítky uživatelů pak sdílely snímky e-mailu od GitHubu na sociálních sítích. Řada z nich se zpočátku mylně domnívala, že jde o masivní phishingovou kampaň.

Velký, nebo malý problém?

V tuto chvíli není jasné, jak dlouho vlastně uvedený problém trvá. Lze předpokládat, že se projevoval v poslední době při použití funkce resetování přihlašovacích údajů. BleepingComputer se obrátil na společnost GitHub, aby specifikovala počet dotčených zákazníků, nicméně do dnešního dne nedostal žádnou odpověď.

V posledních letech byla zaznamenána řada případů zranitelností, při kterých byla exponována hesla zákazníků nebo uživatelů v prostém textu na nezabezpečených serverech. Ze známých firem řešil takový problém například americký T-Mobile. V případě GitHubu je však nepravděpodobné, že by někdo „z venku“ mohl získat přístup k protokolům, protože by musel proniknout přes několik bezpečnostních vrstev.

V každém případě je příjemcům e-mailových upozornění doporučeno resetovat své heslo a ujistit se, že stejné přihlašovací údaje nebyly použity na dalších webech.

Diskuze (11) Další článek: Na Facebooku přibude seznamka. Na jednorázovky zapomeňte, hledat se budou celoživotní lásky

Témata článku: Heslo, GitHub, T-Mobile, Poslední doba, Dotčený zákazník, E-mailové upozornění, Dotčený uživatel, Uživatelé, Audit, Zásadní rozdíl, Uvedený problém, Text, Hostingová služba, Známá firma, Malý problém, Sociální síť, Programový kód, Vybraný uživatel, Bezpečnostní vrstva, Prostý text, Bezpečnostní chyba, Interní protokol, Protokol, Nezabezpečený server, Formát


Určitě si přečtěte

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 67

Vybíráme nejlepší monitory: Od úplně levných po velké prohnuté obludy

Vybíráme nejlepší monitory: Od úplně levných po velké prohnuté obludy

** Vybrali jsme nejlepší monitory na práci, hraní i filmy ** Nejlevnější monitor s kvalitním panelem stojí tři tisíce ** 4K už dává smysl i s cenou kolem deseti tisíc korun

David Polesný | 54



Aktuální číslo časopisu Computer

Nejlepší programy pro úpravu fotek zdarma

Externí disky pro zálohu dat

Velký test: herní notebooky

Srovnání 12 batohů