GitHub accidentalmente guardo algunas contraseñas en texto plano en sus registros internos

En un correo electrónico enviado hoy, GitHub advirtió a un número selecto de usuarios que un error en la funcionalidad de restablecimiento de contraseña ha registrado las contraseñas de los usuarios en formato de texto sin formato dentro de los registros internos de la empresa.

La compañía dice que las contraseñas de texto plano solo han sido expuestas a un pequeño número de empleados de GitHub con acceso a esos registros. Ningún otro usuario de GitHub ha visto las contraseñas de texto plano de los usuarios, dijo la compañía.

GitHub dice que, normalmente, las contraseñas son seguras, ya que son hash con el algoritmo bcrypt. La compañía culpó a un error de las contraseñas de texto sin formato que terminan en sus registros internos. Solo los usuarios que recientemente restablecieron las contraseñas se vieron afectados. Se espera que la cantidad de usuarios afectados sea baja.

Error en el almacenamiento de contraseñas en texto plano encontrado durante una auditoría rutinaria

GitHub dijo que descubrió su error durante una auditoría de rutinaria y dejó en claro que sus servidores no fueron pirateados.

Decenas de usuarios compartieron imágenes de los correos electrónicos de GitHub que recibieron en Twitter el día de hoy. Inicialmente, los usuarios pensaron que se trataba de una campaña masiva de phishing, pero los mensajes resultaron ser del verdadero GitHub.

En junio de 2016, GitHub también envió correos electrónicos de restablecimiento de contraseña a los clientes después de que una persona desconocido intentó acceder a las cuentas de GitHub utilizando contraseñas filtradas en línea en ese momento, a través de LinkedIn, Dropbox, MySpace, Mega y otros Leacks del año 2016.

El texto completo del correo electrónico enviado hoy a GitHub está disponible a continuación:

During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users' passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.

GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored secure in production. To note, GitHub has not been hacked or compromised in any way.

You can regain access to your account by resetting your passwords using the link below::

https://github.com/password_reset