Dalam email yang dikirim pada awal bulan ini, GitHub telah memperingatkan sejumlah pengguna terpilih bahwa bug dalam fungsi pengaturan ulang kata sandinya telah mencatat kata sandi pengguna dalam format plaintext di dalam log internal perusahaan.
Perusahaan mengatakan bahwa kata sandi plaintext hanya dihadapkan pada sejumlah kecil karyawan GitHub dengan akses ke log tersebut. Tidak ada pengguna GitHub lain yang telah melihat kata sandi plaintext pengguna, kata perusahaan itu.
GitHub mengatakan bahwa biasanya, kata sandi aman, karena mereka di-hash dengan algoritma bcrypt. Perusahaan itu menyalahkan bug karena kata sandi plaintext berakhir di log internalnya. Hanya pengguna yang baru saja mereset kata sandi yang terpengaruh.
Bug penyimpanan kata sandi plaintext ditemukan selama audit rutin
GitHub mengatakan menemukan kesalahannya selama audit rutin dan menjelaskan bahwa servernya tidak diretas.
Puluhan pengguna berbagi gambar dari email GitHub yang mereka terima di Twitter. Awalnya, pengguna menganggap ini adalah kampanye phishing besar-besaran, tetapi pesan itu ternyata berasal dari GitHub yang sebenarnya.
Whoah @github seems having a #users #password issue. Anyone else have received it?
↘ pic.twitter.com/m8ybsanjBP— SwitHak (@SwitHak) May 1, 2018
https://twitter.com/olihough86/status/991434060911202305
@github asked me to change password. pic.twitter.com/NgRVb2vVCX
— Bobinson K B (@bobinson) May 1, 2018
Pada Juni 2016, GitHub juga pernah mengirimkan email pengaturan ulang kata sandi kepada pelanggan setelah seorang aktor yang tidak dikenal mencoba mengakses akun GitHub menggunakan kata sandi yang bocor secara online pada saat itu, melalui LinkedIn, Dropbox, MySpace, dan pelanggaran besar lainnya pada tahun 2016.
Teks lengkap dari email yang dikirim GitHub tersedia di bawah ini:
During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users' passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.
GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored secure in production. To note, GitHub has not been hacked or compromised in any way.
You can regain access to your account by resetting your passwords using the link below::
https://github.com/password_reset
