GitHub инициировал (https://news.ycombinator.com/item?id=16972050) процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры.

Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгортима bcrypt.

URL: https://news.ycombinator.com/item?id=16972050
Новость: https://www.opennet.me/opennews/art.shtml?num=48527

• GitHub по ошибке сохранял открытые пароли в логе,Android, 08:10 , 02-Май-18
  • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 08:34 , 02-Май-18
    • GitHub по ошибке сохранял открытые пароли в логе,Дмитрий Марков, 08:42 , 02-Май-18
      • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 09:05 , 02-Май-18
• GitHub по ошибке сохранял открытые пароли в логе,Аноним, 08:47 , 02-Май-18
  • GitHub по ошибке сохранял открытые пароли в логе,freehck, 12:17 , 02-Май-18
    • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 16:58 , 02-Май-18
    • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 23:29 , 02-Май-18
      • GitHub по ошибке сохранял открытые пароли в логе,blackst0ne, 04:53 , 03-Май-18
        • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 18:07 , 03-Май-18
• GitHub по ошибке сохранял открытые пароли в логе,Аноним, 10:34 , 02-Май-18
  • GitHub по ошибке сохранял открытые пароли в логе,github, 17:00 , 02-Май-18
    • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 18:07 , 02-Май-18
    • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 18:56 , 02-Май-18
      • GitHub по ошибке сохранял открытые пароли в логе,github, 20:26 , 03-Май-18
• GitHub по ошибке сохранял открытые пароли в логе,KOT040188, 23:16 , 02-Май-18
• GitHub по ошибке сохранял открытые пароли в логе,Аноним, 02:07 , 04-Май-18
  • GitHub по ошибке сохранял открытые пароли в логе,Аноним, 19:46 , 04-Май-18
• GitHub и Twitter по ошибке сохраняли открытые пароли в логе,Анонимный БСДун, 00:45 , 07-Май-18

Сменю-ка пароль на всякий случай, хоть письмо не приходило

> Сменю-ка пароль на всякий случай, хоть письмо не приходило

Ты уверен что хочешь вызвать функцию сброса пароля?

> Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время.

смена пароля и сброс пароля это немного разные вещи

к сожалению, гитхаб об этом не в курсе, и затронутым юзерам предлагает именно дырявый //github.com/password_reset

(типа "мы прошлый раз не уверены что хорошо записали ваш пароль, повторите-как еще раз. Оп, вот теперь мы точно его сохранили.")

DevOpsы GitHub просто не умеют готовить стейжи в k8s.

Причём тут девопсы вообще? Тут скорее всего какой-нибудь разработчик вставил дебаг, выводящий на экран всякое разное, в том числе и пароль -- потом это кто-то плохо отревьюил (если вообще ревьюил), и таким образом это попало в прод. Никакой кубер от такого не спасёт.

General Data Protection Regulation (GDPR) нарушен в любом случае.

что забавно, в рельсах встроенная защита от этого. Тупо проверяет поле password и убирает его из вывода в лог

Эта штука в рельсах настраиваемая. Можно отключить, можно проглядеть, если фильтруемое поле отличается от стандатрного `password`.

Она по-умолчанию включена. И да, поменять password на что-то ещё можно, но именно поэтому, не рекомендуется

Разработчики Debian и GNOME как в воду глядели выбирая Gitlab для разворачивания на своих серверах, а не у васяна на гитхабе.

да лана, нужны нам их пароли, как телеге бензонасос.

А у наших васянов живут вполне коммерческие (и не обязательно public) проекты, вот там может и парольчик пригодиться.

Blizzard слить с приватного гитхаба....

Можно незаметно подбросить бэкдор. Уж лучше пусть на своих серверах хостят.

так его тем более интересней подбросить в закрытый проект, а то какой-нибудь излишне любопытный васян спалит всю малину.

А на своих серверах они не хочут, они хочут фыр-фыр-фыр и социальные отношения разработчиков.

Сейчас многие переходят на гитлаб…

https://blog.twitter.com/official/en_us/topics/company/2018/...

у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно, саутсорсили хранение данных пользователей кому-то третьему?

> https://blog.twitter.com/official/en_us/topics/company/2018/...
> у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно,
> саутсорсили хранение данных пользователей кому-то третьему?

Явно не каждый проект строит свои датацентры. Очевидно хостятся у других дядь.

Чуваки дебаг не выключили...