开源中国 - 找到您想要的开源项目,分享和交流 - 亚虎娱乐官方app_yahu999_亚虎国际pt客户端
Github Bug 导致部分用户密码明文暴漏给内部员工
oschina 2018年05月07日

Github Bug 导致部分用户密码明文暴漏给内部员工

oschina oschina 亚虎国际pt客户端于2018年05月07日 收藏 1 评论 11
【腾讯云】如何快速搭建微信小程序?>>>   上周国外多家媒体报道,在 Github 内部的日志系统中,部分用户的密码以明文的形式暴漏给了内部员工。


经整理,事件始末如下:Github 上周二向部分用户发送了一封电子邮件,通知由于密码重置功能出现故障,导致其内部日志明文记录了某一时间段用户在进行密码重置时的密码。目前 Bug 已修复,但这一部分的用户需要再次重置密码才能访问帐户。邮件中,GitHub 还表示这些密码大多数 GitHub 员工是无法访问的,更不会被公众或其他 GitHub 用户访问到。GitHub 不会故意以明文格式存储密码,也没有被黑客入侵或以任何方式泄密。邮件全文如下:
During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users' passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored secure in production. To note, GitHub has not been hacked or compromised in any way.You can regain access to your account by resetting your passwords using the link below::https://github.com/password_reset
最初,许多用户在收到邮件后以为这是一个大规模的网络钓鱼攻击,并在 Twitter 上晒起了截图。之后才确定是官方发送的邮件,也因此引起了许多媒体的关注和报道。
更多关于此事件的详细报道请看国外媒体:gizmodozdnetwhatsnew2day
本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创亚虎娱乐官方app社区。
转载请注明:文章转载自 亚虎娱乐官方app中国社区 [http://www.oschina.net]
本文标题:Github Bug 导致部分用户密码明文暴漏给内部员工
分享
评论(11)
精彩评论
3
这个。。。 和twitter同一天出现了同一个问题。。 你说巧不巧。。

twitter给我发的邮件:

当你为你的 Twitter 帐号设置密码时,我们使用掩码处理技术,没有工作人员能够看到密码。 我们近期发现了密码未经掩码处理保存在内部日志中的问题。 我们已经修复了这个问题,而且我们的调查未显示出任何人的泄露或滥用迹象。
2
不是说密码被明文存储在了数据库,应该是说一些请求的数据(如POST参数)记录在了日志中。
1
Github 这样的系统居然存储用户密码明文!!!!
最新评论
0

引用来自“xiongsongsong”的评论

不是说密码被明文存储在了数据库,应该是说一些请求的数据(如POST参数)记录在了日志中。
其他人都没认真看
0
和我系统设计的一样,因为总有人忘记密码来找我
0

引用来自“游客”的评论

所有密码全部不一样,用自己的生成规则,毫无问题
你以为你的生成规则能很牛逼?说不定连MD5都不如
0
负责任的做法是,在密码离开用户电脑前 sha256(username:server_salt:password)
2
不是说密码被明文存储在了数据库,应该是说一些请求的数据(如POST参数)记录在了日志中。
0
所有密码全部不一样,用自己的生成规则,毫无问题
3
这个。。。 和twitter同一天出现了同一个问题。。 你说巧不巧。。

twitter给我发的邮件:

当你为你的 Twitter 帐号设置密码时,我们使用掩码处理技术,没有工作人员能够看到密码。 我们近期发现了密码未经掩码处理保存在内部日志中的问题。 我们已经修复了这个问题,而且我们的调查未显示出任何人的泄露或滥用迹象。
0
emmmmmmmmmmmmm
这三波图片,这么不清晰还不如不发节省流量……
0
技术人员都认为神一般存在的 github 也会爆这种低级的错误。。。。
1
Github 这样的系统居然存储用户密码明文!!!!
顶部