Github Bug 導致部分用戶密碼明文暴漏給內部員工

2020-12-27 開源中國

上周國外多家媒體報導,在 Github 內部的日誌系統中,部分用戶的密碼以明文的形式暴漏給了內部員工。



經整理,事件始末如下:

Github 上周二向部分用戶發送了一封電子郵件,通知由於密碼重置功能出現故障,導致其內部日誌明文記錄了某一時間段用戶在進行密碼重置時的密碼。目前 Bug 已修復,但這一部分的用戶需要再次重置密碼才能訪問帳戶。

郵件中,GitHub 還表示這些密碼大多數 GitHub 員工是無法訪問的,更不會被公眾或其他 GitHub 用戶訪問到。GitHub 不會故意以明文格式存儲密碼,也沒有被黑客入侵或以任何方式洩密。

郵件全文如下:

During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users' passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.

GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored secure in production. To note, GitHub has not been hacked or compromised in any way.

You can regain access to your account by resetting your passwords using the link below::

https://github.com/password_reset

最初,許多用戶在收到郵件後以為這是一個大規模的網絡釣魚攻擊,並在 Twitter 上曬起了截圖。之後才確定是官方發送的郵件,也因此引起了許多媒體的關注和報導。

更多關於此事件的詳細報導請看國外媒體:gizmodo、zdnet、whatsnew2day

相關焦點

  • 明文存儲密碼,為何連谷歌也無法杜絕這種「蠢事」?
    除了谷歌,歷史上諸多知名網際網路公司都被明文存儲密碼漏洞困擾過,為何此類漏洞屢禁不絕?關聯功能可能存在漏洞低級安全漏洞有許多,網站參數過濾不嚴導致的跨站漏洞、設計缺陷導致的任意密碼重置漏洞與任意支付漏洞、弱口令漏洞、明文存儲密碼漏洞等。
  • 12306部分用戶信息洩露 可通過APP更改密碼
    據悉,有部分用戶12306帳號、密碼及信息洩露,而官方聲明,露信息全部含有用戶的明文密碼。12306網站資料庫所有用戶密碼均為多次加密的非明文轉換碼,網上洩露的用戶信息系經其他網站或渠道流出。目前,公安機關已經介入調查。
  • 典型案例:Bug 9776608-多個用戶使用錯誤密碼登錄同一個用戶而造成的用戶無法登錄異常
    ,導致用戶登錄hang的問題,本文記錄整個分析、處理過程。此時,則想到了11g中的一個bug,即:大量的無效登錄,可能會導致大量的library cache lock等待事件,造成資料庫異常。於是通過mos進行搜索。最終發現,oracle11g中存在一個bug:9776608;該bug描述,多個用戶使用錯誤密碼同時登錄一個用戶的時候,會造成該用戶登錄異常。
  • 滲透技巧——通過CredSSP導出用戶的明文口令
    本文將要介紹另外一種獲得當前用戶口令的方法,同樣不需要對lsass進程操作。 這是Benjamin @gentilkiwi Delpy開源的kekeo在2018年添加的功能,只需要修改Windows系統的組策略,就能夠以普通用戶的權限獲得用戶的明文口令。
  • 京東12GB用戶數據包洩露 內含用戶帳號密碼郵箱等信息
    值得注意的是,這些數據的用戶密碼都進行過MD5加密,要通過專業破解軟體,才能得到原密碼。  業內人士稱,一般MD5破解需要一定時間,但有些密碼在資料庫中已被其他人解密過,能瞬間破解,比如123456;如果是一個新密碼,破解時間就較長。可瞬間破解的帳號,一般只佔3-5%。記者嘗試根據部分用戶名和破解的密碼登陸,確實大部分可登陸京東帳戶。
  • RockYou因為明文儲存密碼被罰25萬美元
    新聞來源:solidot2009年,社交遊戲開發商RockYou的主頁被發現存在SQL注入漏洞,黑客利用漏洞竊取了用戶資料,發現RockYou用明文儲存了用戶密碼,此事導致上千萬用戶資料被公布在網絡上,其中包括大約18
  • 導出windows密碼技巧大全
    #dir /a C:\Users\每個用戶\AppData\Local\Microsoft\Credentials\   //會把所有登錄的用戶的憑據加密文件都找出來2. 將此文件夾中的文件從目標機遠程下載到本地的C:\a文件夾中
  • 5億微博用戶數據洩露?暗網無人交易,專家建議用戶勤改密碼
    3月24日,工信部網站發布消息,3月21日,因新浪微博被爆出用戶查詢接口被惡意調用導致App數據洩露問題,工信部網絡安全管理局對新浪微博相關負責人進行了問詢約談,要求其進一步採取有效措施,消除數據安全隱患。
  • 新浪微博用戶手機號、密碼等信息被出售?官方回應了
    3月21日,@微博安全中心發布有關「微博用戶信息被出售事件」的說明。近日有報導稱,微博用戶信息在暗網上被出售,涉及信息包括手機號、密碼等。對此,站方說明如下:1.自2011年以來,微博一直提供查詢通訊錄好友微博暱稱的服務,用戶授權後可以使用該服務。但用戶僅能查詢到相關帳號暱稱,也可以隨時取消授權。
  • Facebook再爆隱私醜聞 用戶數據究竟如何保障?
    【中國經營網綜合】引述華爾街見聞的消息,據網絡安全記者Brian Krebs周四發布的一份報告稱,Facebook存儲了多達6億個沒有加密的用戶帳戶密碼。這些帳戶密碼可以作為純文本,給該公司成千上萬的公司員工查看。Facebook在一篇博文中證實了這一報導,不過,該公司沒有說明有多少用戶受到影響。 Facebook股價周四下跌不到1%。
  • Google密碼系統被攻擊 系內部人為過失
    在去年攻擊Google的黑客事件後,又傳出Google一臺控制數百萬用戶的伺服器密碼系統也遭入侵。
  • 嗅探與欺騙(Windows下Telnet明文密碼抓取)
    原理:利用Telnet明文傳輸,獲得用戶名密碼。  一、Wrieshark安裝和使用  運行Wrieshark選擇適合的網卡,點擊「Start」抓取條件寫入telnet,即可進行抓包。    二、Telnet明文輸入過程  在命令行下輸入telnet,進入telnet模塊,輸入命令「open 192.168.1.3」,輸入N繼續進行。
  • 一文詳解Hexo+Github小白建站
    有時間的話,整理一篇關於我多年以來使用Markdown的經驗,以及該文的排版樣式等等。Github+Hexo的官網:Github:https://github.com/Hexo:https://hexo.io/zh-cn/docs/作為一位Coder,必定需要搭建一個屬於自己的博客站點,來記錄自己學習的過程以及所走過的坑。
  • 微軟遭黑客入侵,部分Outlook郵件用戶遭到洩露
    有微軟內部人士表示,黑客可以從大量Outlook、MSN、Hotmail郵件帳戶獲取郵件內容。目前,微軟公布的數據顯示,只有一小部分用戶受到影響,當中約有6%的用戶其郵件內容存在洩露風險,不過微軟沒有透露具體總數字。
  • 經濟學人全球早報:Facebook明文密碼,小米收購九維寬頻,獅航黑匣子...
    Facebook再爆信息安全醜聞:數億用戶密碼被明文儲存據網絡安全記者布萊恩-克雷布斯(Brian Krebs)周四的一份報告稱,Facebook儲存了「數億」個帳戶密碼,沒有加密,而且可以以純文本的形式顯示給數萬名公司員工。
  • TNW:中國用戶無法訪問GitHub主要是DNS地址被劫持
    從1月21日開始國內用戶已經無法直接訪問全球最大的社交編程及代碼託管網站GitHub,目前國外網站已陸續注意到並報導此事,TNW在報導中指出,中國用戶無法訪問GitHub主要是DNS地址被劫持。GitHub發言人對此則只是回應稱,調查仍在進行中。
  • 安全專業人士最愛的 19 個 GitHub 開源項目
    Mimikatz功能強大,因為它讓測試人員可以從內存提取明文格式的密碼、散列、PIN碼和Kerberos票證,假冒用戶令牌,並導出存放在被感染系統上的證書和對應私鑰。Mimikatz可以作為一款獨立工具來使用,也可以作為一個meterpreter腳本,添加到Metasploit中。
  • 12306用戶信息洩露?鐵路總公司回應,網警建議改密碼
    這張截圖中,購票者的用戶名、明文密碼、身份證號碼、手機號、郵箱,以及在註冊時設置的問題和答案都被公布了出來。還有微博用戶稱,12306用戶登錄信息被出售了!但記者發現,這份截圖中大部分帳號密碼無法匹配,但個別用戶的帳號密碼確為洩漏。網警建議用戶儘快修改密碼,避免和其他軟體使用密碼一致。
  • 賞金$10000的GitHub漏洞
    雖然無法找到任何地方可以作為旁路使用,但也發現了一些點,調用url_for與用戶一個可控的哈希。這時候,哈希中的任何額外的參數都會被附加到url中作為一個查詢字符串。通過查看檔,發現有相當多的選項是可以控制的:1 .:only_path – 如果為true,返回相對的URL。默認為false2 .:protocol – 要連接的協議,默認為http3 .