Un bug della piattaforma ha permesso di visualizzare le chiavi segrete degli iscritti in chiaro. A quanto pare senza violazioni (almeno per ora)
GitHub ha comunicato di aver riscontrato un bug sui propri server che permetteva alle password di essere conservate in chiaro. All’interno di alcuni log presenti sui sistemi aziendali, si potevano trovare database pieni zeppi di chiavi segrete visibili e non crittografate come ci si aspetterebbe. Si tratta di un problema molto simile di cui ha sofferto Twitter la scorsa settimana e che aveva portato la piattaforma a invitare tutti gli iscritti a cambiare le password di accesso sebbene in assenza di qualsiasi violazione. Come sia potuto accadere che le stringhe di GitHub siano rimaste così, trasparenti e alla stregua di chiunque non è stato spiegato.
Cosa succede
Quello che sappiamo si basa sulle dichiarazioni del team: “Durante un normale controllo, abbiamo scoperto che un bug ha permesso di mostrare un piccolo numero di password degli utenti al nostro sistema di registrazione interno. Siamo intervenuti tempestivamente per correggerlo ma è stato attivato un reset delle chiavi per una protezione maggiore”. Ad ogni modo pare che il breach interessi solo una certa fetta di iscritti che però potrebbe essere importante, considerando che la piattaforma ne conta oltre 27 milioni in totale.
Di norma, GitHub conserva le password dopo averle crittografate via hash ma il bug, stando a quanto comunicato, consentiva di catturarle in chiaro quando si avviava una procedura di reset manuale. Trovandosi solo su server dell’azienda, nessun soggetto terzo ha potuto accedere alle chiavi quindi le conseguenze dovrebbero essere limitate, se non pari a zero. Non è certo questo l’unico bug che girava sul portale più amato dagli sviluppatori; nel giro di un mese il team dedicato ha affermato di averne scovati circa 500 mila, nascosti tra le maglie dei file.
