圖片來源: 

GitHub

GitHub本周二(5/2)以電子郵件知會用戶,指出在定期檢查內部程式時發現其登錄系統含有一臭蟲,以明文紀錄了少數使用者的密碼,並要收到郵件的用戶儘速重設密碼。

GitHub於郵件中說明,一般而言,該站是以BCrypt來加密用戶密碼,但此一臭蟲卻會在用戶重設密碼時以明文紀錄密碼,由於相關紀錄是儲存在GitHub的內部資料庫中,除了外部無法存取之外,大多數的GitHub員工亦無法存取,且該站認為應該沒有任何GitHub員工曾經存取這些內部紀錄。

此一臭蟲看起來只影響那些曾經重設密碼的GitHub用戶,惟GitHub並未公布受影響的用戶數量,只強調這是個獨立的臭蟲,而非被駭或遭到入侵。

GitHub曾在2016年時要求該站的部份用戶重設密碼,因為當時有數起大規模資料外洩事件,GitHub雖未牽涉其中,但駭客卻企圖利用這些外洩的資料登入GitHub。


Advertisement

更多 iThome相關內容