GitHub再次出现失误:用户账号信息遭纯文本暴露
Github官方近日承认,由于失误导致一部分用户的密码被以明文的方式暴露了,但只有少数员工看到了这部分密码。
一、Github部分帐号密码明文方式暴露
作为全球知名的面向开源和私有软件项目的托管平台,Github的鼎鼎大名相信开发人员是绝对知晓的,据公开数据显示,截至去年年底GitHub拥有2700万用户。
然而,就这样的一个巨头近日再度出现失误,外媒报道称Github部分用户的帐号密码被以明文的方式暴露出来了,目前Github官方承认了这一报道,已向受影响用户发送一封邮件要求他们更改密码。
据官方说法,他们在执行定期审计的时候发现了一个漏洞,这一漏洞通过内部日志系统暴露了少量用户的密码,但官方表示只有少数员工能看到这部分密码,而且内部员工平常都不大可能会查看网站的内部日志。
因此,Github敬告用户不需要过多的担心,毕竟受波及的用户很少,而且密码也只是暴露给了一少部分内部员工,而且大多人根本没有注意到这一问题的存在。
二、如何解决密码泄漏问题
对于类似这种密码泄漏的问题,最终的解决方案就是修改密码,以策万全,据悉,目前Github已经彻底处理了这一问题,而受到影响的用户需要重新设置密码才能重新获得账户的访问权限。
不过,对于造成这一漏洞的原因和影响到的用户量媒体都比较好奇,而Github官方解释,他们采用的是一种强大的密码散列算法bcrypt对用户的密码进行存储的,但由于配置错误导致安全日志在用户启动密码重置时记录了用户的明文密码。
之前笔者提到过这不是Github第一次出现类似问题,早在2016年6月份时,Github就发出密码修改和重置提示,有资料显示,当时有用户使用了LinkedIn/Dropbox/MySpace安全泄露事件中的用户名和密码对Github进行了撞库攻击。
而同样的问题不止发送在一个巨头身上,前几天笔者就分析过推特因技术BUG导致用户密码泄漏,以明文的方式存储到了日志中的报道。
造成密码泄漏事故的原因,同样是配置错误使得密码尚未被加密之前就被错误的存储到了公司服务器的内部日志中,而能够看到这一日志的同样只有少部分内部工程师。