GitHub暴露用户密码

GitHub已经指示一些用户重置密码后密码错误导致内部日志记录在纯文本。

几个用户发布 截图 在Twitter上的与安全相关的邮件他们从GitHub周二收到。 影响的公司告诉顾客,这一事件是在普通审计发现的。

GitHub声称只有“少量”的用户受到影响,这个问题已经解决,但是影响个人只会重获他们重置密码后进入他们的账户。

“GitHub商店用户密码与安全的密码散列(bcrypt)。 然而,这最近推出了内部错误导致我们的安全日志记录明文当用户发起一个密码重置用户密码,”GitHub说。

公司已向用户保证,明文密码从未对公众开放,其他GitHub用户,大多数GitHub的员工。 有些员工可能包含明文密码访问日志,GitHub认为“不太可能”发生。

GitHub凸显了它的系统没有被入侵或以任何方式泄露。

这已经不是第一次Git仓库托管服务要求用户重置密码。 早在2016年代中期,公司锁定一些用户的账户在恶意的演员 开始滥用 从其他在线服务登录凭据泄露到GitHub账户。

该公司最近宣布 支付 总共166495美元的安全研究人员报道去年通过其错误赏金计划漏洞。