The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.05.2018 07:35  GitHub и Twitter по ошибке сохраняли открытые пароли в логе

GitHub инициировал процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры.

Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгоритма bcrypt.

Дополнение: Об аналогичной проблеме с сохранением открытых паролей в логах объявил Twitter.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: GitHub предупредил об атаке, использующей перехваченные с других сайтов пароли
  3. OpenNews: Сбой антиспам-системы привёл к коллапсу в репозитории NPM
  4. OpenNews: Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли
  5. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  6. OpenNews: GitHub опубликовал отчёт с анализом аварии, приведшей к недоступности сервиса
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Android, 08:10, 02/05/2018 [ответить] [смотреть все]    [к модератору]
  • –1 +/
    Сменю-ка пароль на всякий случай, хоть письмо не приходило
     
     
  • 2.2, Аноним, 08:34, 02/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +6 +/
    > Сменю-ка пароль на всякий случай, хоть письмо не приходило

    Ты уверен что хочешь вызвать функцию сброса пароля?

    > Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время.

     
     
  • 3.3, Дмитрий Марков, 08:42, 02/05/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +2 +/
    смена пароля и сброс пароля это немного разные вещи
     
     
  • 4.5, Аноним, 09:05, 02/05/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    к сожалению, гитхаб об этом не в курсе, и затронутым юзерам предлагает именно ды... весь текст скрыт [показать]
     
  • 1.4, Аноним, 08:47, 02/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    DevOpsы GitHub просто не умеют готовить стейжи в k8s.
     
     
  • 2.8, freehck, 12:17, 02/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +9 +/
    Причём тут девопсы вообще? Тут скорее всего какой-нибудь разработчик вставил дебаг, выводящий на экран всякое разное, в том числе и пароль -- потом это кто-то плохо отревьюил (если вообще ревьюил), и таким образом это попало в прод. Никакой кубер от такого не спасёт.
     
     
  • 3.13, Аноним, 16:58, 02/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    General Data Protection Regulation (GDPR) нарушен в любом случае.
     
  • 3.18, Аноним, 23:29, 02/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    что забавно, в рельсах встроенная защита от этого Тупо проверяет поле password ... весь текст скрыт [показать]
     
     
  • 4.20, blackst0ne, 04:53, 03/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Эта штука в рельсах настраиваемая Можно отключить, можно проглядеть, если фильт... весь текст скрыт [показать]
     
     
  • 5.21, Аноним, 18:07, 03/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Она по-умолчанию включена И да, поменять password на что-то ещё можно, но именн... весь текст скрыт [показать]
     
  • 1.7, Аноним, 10:34, 02/05/2018 [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Разработчики Debian и GNOME как в воду глядели выбирая Gitlab для разворачивания... весь текст скрыт [показать]
     
     
  • 2.14, github, 17:00, 02/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    да лана, нужны нам их пароли, как телеге бензонасос А у наших васянов живут впо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 18:07, 02/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Blizzard слить с приватного гитхаба....
     
  • 3.16, Аноним, 18:56, 02/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Можно незаметно подбросить бэкдор. Уж лучше пусть на своих серверах хостят.
     
     
  • 4.22, github, 20:26, 03/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    так его тем более интересней подбросить в закрытый проект, а то какой-нибудь излишне любопытный васян спалит всю малину.

    А на своих серверах они не хочут, они хочут фыр-фыр-фыр и социальные отношения разработчиков.

     
  • 1.17, KOT040188, 23:16, 02/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Сейчас многие переходят на гитлаб…
     
  • 1.23, Аноним, 02:07, 04/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    https blog twitter com official en_us topics company 2018 keeping-your-account... весь текст скрыт [показать]
     
     
  • 2.24, Аноним, 19:46, 04/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Явно не каждый проект строит свои датацентры Очевидно хостятся у других дядь ... весь текст скрыт [показать] [показать ветку]
     
  • 1.25, Анонимный БСДун, 00:45, 07/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Чуваки дебаг не выключили...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor