APP下载

GitHub无意中将一些明文密码记录在内部日志中

消息来源:baojiabao.com 作者: 发布时间:2026-07-03

报价宝综合消息GitHub无意中将一些明文密码记录在内部日志中

GitHub在今天发出的一封电子邮件中警告一小部分用户,密码重置功能中的一个漏洞将用户的密码以明文格式记录在公司的内部日志中。

该公司表示,明文密码只泄露给了有权访问这些日志的少数GitHub员工。该公司表示,其他GitHub用户根本看不到用户的明文密码。

GitHub表示,通常情况下,密码是安全的,因为密码用bcrypt算法来加密。该公司认为,内部日志中出现明文密码归咎于一个漏洞。只有最近重置了密码的用户才受到影响。

受影响的用户预计为不多。IT外媒Bleeping Computer已联系GitHub,想了解总共多少客户受到了影响,但该公司在本文发表前并没有回应。

例行审计过程中发现了明文密码存储漏洞

GitHub表示,它在例行审计过程中发现了错误,并明确表示服务器没有受到黑客入侵。

今天早些时候,数十名用户将收到的GitHub电子邮件的截图放到了Twitter上。最初,用户以为这是一次大规模的网络钓鱼攻击,但结果发现邮件确确实实是GitHub发来的。

Github似乎遇到了用户密码问题。还有谁收到了通知邮件?

哎呀

Github让我更改密码。

2016年6月,GitHub也向客户发送过密码重置电子邮件,起因是一个身份不明的家伙企图使用当时网上泄露的密码来访问GitHub账户,通过LinkedIn、Dropbox、MySpace以及2016年其他重大安全事件泄露的密码来钻空子。

GitHub今天发送的电子邮件全文如下:

GitHub在定期审计过程中发现,一个最近引入的漏洞将少量用户密码泄露给了我们的内部日志系统,包括您的密码。我们已更正了该问题,但您需要重置密码才能重新访问您的账户。

GitHub使用安全密码散列(bcrypt)来存储用户密码。但是,最近引入的这个漏洞导致用户在重置密码时,我们的安全内部日志记录明文格式的用户密码。请放心,公众或其他GitHub用户任何时候都无法访问这些密码。此外,大多数GitHub员工也无法访问密码;我们确定,任何GitHub员工都不太可能访问了这些日志。GitHub并不有意以明文格式存储密码。相反,我们使用现代加密方法来确保密码安全地存储在生产环境中。要注意的是,GitHub并没有受到任何方式的黑客入侵或破坏。

您可以使用下列链接来重置密码,以便重新访问您的账户:https://github.com/password_reset





2018-05-03 07:31:00

相关文章