GitHub 無意中將一些明文密碼記錄在內部日誌中

GitHub在今天發出的一封電子郵件中警告一小部分用戶，密碼重置功能中的一個漏洞將用戶的密碼以明文格式記錄在公司的內部日誌中。

該公司表示，明文密碼只泄露給了有權訪問這些日誌的少數GitHub員工。該公司表示，其他GitHub用戶根本看不到用戶的明文密碼。

GitHub表示，通常情況下，密碼是安全的，因為密碼用bcrypt演算法來加密。該公司認為，內部日誌中出現明文密碼歸咎於一個漏洞。只有最近重置了密碼的用戶才受到影響。

受影響的用戶預計為不多。IT外媒Bleeping Computer已聯繫GitHub，想了解總共多少客戶受到了影響，但該公司在本文發表前並沒有回應。

例行審計過程中發現了明文密碼存儲漏洞

GitHub表示，它在例行審計過程中發現了錯誤，並明確表示伺服器沒有受到黑客入侵。

今天早些時候，數十名用戶將收到的GitHub電子郵件的截圖放到了Twitter上。最初，用戶以為這是一次大規模的網路釣魚攻擊，但結果發現郵件確確實實是GitHub發來的。

Github似乎遇到了用戶密碼問題。還有誰收到了通知郵件？

哎呀

Github讓我更改密碼。

2016年6月，GitHub也向客戶發送過密碼重置電子郵件，起因是一個身份不明的傢伙企圖使用當時網上泄露的密碼來訪問GitHub帳戶，通過LinkedIn、Dropbox、MySpace以及2016年其他重大安全事件泄露的密碼來鑽空子。

GitHub今天發送的電子郵件全文如下：

GitHub在定期審計過程中發現，一個最近引入的漏洞將少量用戶密碼泄露給了我們的內部日誌系統，包括您的密碼。我們已更正了該問題，但您需要重置密碼才能重新訪問您的帳戶。

GitHub使用安全密碼散列（bcrypt）來存儲用戶密碼。但是，最近引入的這個漏洞導致用戶在重置密碼時，我們的安全內部日誌記錄明文格式的用戶密碼。請放心，公眾或其他GitHub用戶任何時候都無法訪問這些密碼。此外，大多數GitHub員工也無法訪問密碼；我們確定，任何GitHub員工都不太可能訪問了這些日誌。GitHub並不有意以明文格式存儲密碼。相反，我們使用現代加密方法來確保密碼安全地存儲在生產環境中。要注意的是，GitHub並沒有受到任何方式的黑客入侵或破壞。

您可以使用下列鏈接來重置密碼，以便重新訪問您的帳戶：https://github.com/password_reset

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！