GitHub sloeg per ongeluk wachtwoorden op als plaintext

Vandaag heeft GitHub de wachtwoorden van sommige gebruikers gerest en de betreffende personen een mail gestuurd met uitleg. Het blijkt dat het interne inlogsysteem niet correct werkte, waardoor de wachtwoorden van een onbekend aantal accounts werd opgeslagen als plaintext. Dat meldt de site Bleeping Computer vandaag op basis van e-mails die gebruikers ontvingen.

Ondanks dat de wachtwoorden van de betreffende gebruikers niet gelekt zijn, en dus ook niet door derden bemachtigd zijn, neemt men geen enkel risico. Om die reden heeft GitHub dus meteen de wachtwoorden van getroffenen gereset. Voordat zij weer kunnen inloggen op het populaire systeem, moeten ze hun wachtwoord eerst opnieuw instellen.

Niet publiekelijk toegankelijk

Hoeveel gebruikers precies zijn getroffen door de bug is niet bekend. GitHub geeft helaas ook geen technische details, dus het is ook niet zeker wat er precies is misgegaan. Wel zegt het bedrijf dat er sprake was van bepaalde logboeken waarin de wachtwoorden als gewone tekst kwamen te staan en dus niet versleuteld zoals normaliter het geval zou zijn.

“Wees gerust, deze wachtwoorden waren niet publiekelijk toegankelijk, of toegankelijk voor andere GitHub-gebruikers. Ook heeft de meerderheid van GitHub-medewerkers geen toegang tot de documenten en hebben we vastgesteld dat het zeer onwaarschijnlijk is dat GitHub-medewerkers zich wel toegang tot deze logboeken verschaft hebben”, lezen we in de mail.

Veel meer details zijn er helaas niet, al benadrukt GitHub dat het wachtwoorden normaliter versleuteld met hashes (bcrypt) opslaat. Een “recente” bug zorgde ervoor dat in de interne logboeken recentelijk geresette wachtwoorden als plaintext werden opgeslagen. Mensen die hun wachtwoord dus de afgelopen tijd niet gereset hebben, zijn niet getroffen.