Un bug a exposé en clair certains mots de passe aux employés de GitHub
jeu, 03/05/2018 - 14:22
GitHub a envoyé mardi 1er mai un mail à ses utilisateurs afin de les informer d'un problème de sécurité, rapporte The Daily Dot.
Pour l'occasion GitHub a souligné ne pas avoir été piraté ou hacké.
Le problème consiste en un bug apparu récemment dans la fonction de réinitialisation de mot de passe faisant apparaître en clair les mots de passe concernés dans les logs du système. Ces mots de passe étaient donc visibles aux quelques employés de GitHub ayant accès aux logs.
GitHub ne dit pas exactement combien de mots de passe ont ainsi été potentiellement compromis, mais assure que parmi ses 27 millions d'utilisateurs seuls ceux qui ont demandé une réinitialisation de leur mot de passe récemment sont concernés.
GitHub souligne encore que les mots de passe ne sont pas stockés en clair dans sa base de données : Nous utilisons des méthodes cryptographiques modernes pour garantir que les mots de passe sont stockés en toute sécurité dans la production. En l'occurrence les mots de passe sont cryptés avec bcrypt.
Le bug est désormais corrigé. Toutefois les utilisateurs de GitHub qui ont reçu le mail d'avertissement doivent à nouveau modifier leur mot de passe, l'actuel étant compromis.