Github 再现失误:部分用户密码明文暴漏
点击上方“CSDN”,选择“置顶公众号”
关键时刻,第一时间送达!
Github 官方近日承认,由于失误导致一部分用户的密码被以明文的方式暴露了,但只有少数员工看到了这部分密码。
▌Github 部分帐号密码移明文形式暴漏
上周国外多家媒体报道,在 Github 内部的日志系统中,部分用户的密码以明文的形式暴漏给了内部员工。经整理,事件始末如下:
Github 上周二向部分用户发送了一封电子邮件,通知由于密码重置功能出现故障,导致其内部日志明文记录了用户在进行密码重置时的密码。目前 bug 已修复,但这一部分的用户需要重置密码才能访问帐户。
邮件中,GitHub 还表示这些密码大多数 GitHub 员工是无法访问的,更不会被公众或其他 GitHub 用户访问到。GitHub 不会故意以明文格式存储密码,也没有被黑客入侵或以任何方式泄密。
邮件全文如下:
During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users' passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.
GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time.
Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored secure in production. To note, GitHub has not been hacked or compromised in any way.
You can regain access to your account by resetting your passwords using the link below::
https://github.com/password_reset
最初,许多用户在收到邮件后以为这是一个大规模的网络钓鱼攻击,并在 Twitter 上晒起了截图。之后才确定是官方发送的邮件,也因此引起了许多媒体的关注和报道。
▌GitHub 官方解释
对于造成这一漏洞的原因想必大家都比较好奇,根据 GitHub 官方的解释,他们是使用 bcrypt(一种更强大的密码散列算法)来存储用户密码,由于配置错误,导致他们的安全内部日志在用户启动密码重置时记录明文用户密码。
泄露事件回顾
2016 年 6 月,GitHub 遭到了密码复用攻击,重置了攻击者成功访问的所有账号密码,当时有用户使用了 LinkedIn/Dropbox/MySpace 安全泄露事件中的用户名和密码对 Github 进行了撞库攻击。2016 年 11 月,GitHub 的 800 万用户信息从 GeekedIn 的 MongoDB 泄露。
Github 再现失误:部分用户密码明文暴漏相关推荐
- django admin后台添加用户登陆失败、用户密码明文、修改后台显示内容等
django项目中,当我们创建了user模型类,并生成了超级管理员,之后我们进入到admin后台页面中,添加一个用户,再去login页面登陆时,会提示我们 用户名或密码错误. 那么问题来了,这是为什么 ...
- 我应该如何道德地接近用户密码存储以便以后的明文检索?
随着我继续构建越来越多的网站和Web应用程序,我经常被要求以一种方式存储用户的密码,如果/当用户遇到问题时可以检索它们(要么通过电子邮件发送忘记的密码链接,请通过当我能够对抗这种做法时,我会做很多&q ...
- 程序员必备基础:如何安全传输存储用户密码?
前言 我们开发网站或者APP的时候,首先要解决的问题,就是「如何安全传输和存储用户的密码」.一些大公司的用户数据库泄露事件也时有发生,带来非常大的负面影响.因此,如何安全传输存储用户密码,是每位程序员 ...
- c++ 服务 以当前用户拉起进程_渗透技巧——通过CredSSP导出用户的明文口令
0x00 前言 在渗透测试中,为了获得Windows系统中的用户口令,通常会选择读取lsass进程的内存.这种方法不仅需要获得系统的管理员权限,而且在更多情况下需要绕过系统对lsass进程的保护. 我 ...
- Windows用户密码的加密方法与破解
再研究Hastcat的时候涉及到了Windows的Hash破解,感觉这个地方还是有一些姿势点和细节的,特此写文章记录之. Hash简介 Hash 一般翻译为"散列",也可直接音译为 ...
- 移动App该如何保存用户密码
这个实际上和桌面程序是一样的. 先看下一些软件是如何保存用户密码的: 我们先来看下QQ是怎么保存密码的: 参考:http://bbs.pediy.com/archive/index.php?t-159 ...
- 微服务网关鉴权:gateway使用、网关限流使用、用户密码加密、JWT鉴权
点击上方"芋道源码",选择"设为星标" 管她前浪,还是后浪? 能浪的浪,才是好浪! 每天 10:33 更新文章,每天掉亿点点头发... 源码精品专栏 原创 | ...
- 微服务网关鉴权——gateway使用、网关限流使用、用户密码加密、JWT鉴权
文章目录 微服务网关鉴权 课程目标 1.微服务网关Gateway 1.1 微服务网关概述 1.2 微服务网关微服务搭建 1.3 微服务网关跨域 1.4 微服务网关过滤器 2 网关限流 2.1 思路分析 ...
- 微服务网关鉴权:gateway使用、网关限流使用 用户密码加密 JWT鉴权
目标 掌握微服务网关Gateway的系统搭建 掌握网关限流的实现 能够使用BCrypt实现对密码的加密与验证 了解加密算法 能够使用JWT实现微服务鉴权 1.微服务网关Gateway 1.1 微服务网 ...
最新文章
- 结构体中string类型成员
- 超级简单的权限类[结合CI和DWZ]
- 安卓开发必备知识体系:安卓篇
- 机器学习实验中的编程技术(part1)--numpy
- Impala入门笔记
- 对MATLAB课程教程的建议,关于MATLAB课程教学的几点探讨
- 计算机网络【1】物理层
- 企业微信_获取access_token
- java 代理ip工具类_Java基础之java处理ip的工具类
- 2021-2025年中国制冷机行业市场供需与战略研究报告
- 《Python源码剖析》.pdf
- TCPUDP测试工具
- 国外最流行的几个外包接活网站 简要介绍
- unity 特效_介绍几个 Unity 开源视觉特效项目
- 网易云信im 的聊天记录展示
- 生物信息学算法之Python实现|Rosalind刷题笔记:003 中心法则:翻译
- 安装 EndNote X 9.3.3
- CRUX下实现进程隐藏(1)
- spring cloud在配置zuul访问后报错,微服务响应超时问题
- ConvertUtils.register注册转换器
热门文章
- 【CS231n_2017】1-Introduction to CNN for Visual Recognition
- DartWeb基础—简单入门
- 中国通风外墙系统市场趋势报告、技术动态创新及市场预测
- 中国连续纤维毡行业市场供需与战略研究报告
- 债务回收解决方案行业调研报告 - 市场现状分析与发展前景预测(2021-2027年)
- linux java sqlldr_oracle在linux如何安装sqlldr
- skylark 叫响中国云计算时代(类GAE云计算平台)
- 毫秒间完成行为分析,飞猪端智能技术实践!
- 常说的「缓存穿透」和「击穿」是什么
- Maven 依赖冲突踩坑后,将依赖调解、类加载彻底整明白了