GitHub 内部日志不慎记录某些用户的明文密码

翻译：360代码卫士团队

5月1日，GitHub 向某些用户发送警告函称，密码重置功能中存在一个 bug，公司不慎将用户密码以明文形式记录在公司的内部日志中。

GitHub 表示，这些明文密码仅暴露给对这些日志拥有访问权限的少数 GitHub 员工，其他 GitHub 用户并无法访问这些用户的明文密码。

GitHub 表示，在正常情况下密码受 bcrypt 算法保护，是安全的。GitHub 指出因为存在一个 bug，导致明文密码被记录到内部日志中，不过只有最近重置了密码的用户才受影响。

受影响用户的数量预计较少。GitHub 尚未就影响人数发表评论。

GitHub 表示在一次例行审计中发现了这个错误，并澄清服务器并未被黑。

数十名用户在推特上分享了自己收到的这份警告函。最初用户以为这是一次大规模的钓鱼活动，但实际上它确实来自 GitHub。

2016年6月，一名未具名黑客试图使用当时因 LinkedIn、Dropbox、MySpace 和其他元数据泄露事件中被黑的密码访问 GitHub 密码时，GitHub 向用户发出密码重置邮件。

这次，GitHub 发送的邮件全文如下：

“在例行审计过程中，Github 发现最近出现的一个 bug 导致某些用户的密码暴露到我们的内部日志系统中，其中包含你的密码在内。我们已更正这一问题，不过你需要重置密码以重新获得对账户的访问权限。

GitHub 通过安全的密码哈希 (bcrypt) 存储用户密码。然而，这个新出现的 bug导致我们的安全内部日志在用户触发密码重置时记录明文用户密码。请放心，这些密码在任何时候都无法遭公开访问或遭其他 GitHub 用户访问。另外，多数 GitHub 员工并无法访问这些密码，而且我们已经确认任何 GitHub 员工并不太可能访问了这些日志。GitHub 并非故意以明文格式存储密码。我们使用了现代密码方法确保密码在生产中是安全存储的。请注意，GitHub 并未遭任何方式的被黑或攻陷。

你可通过如下链接重置密码，重新获得对账户的访问权限：

https://github.com/password_reset”

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。