Harald Brombach (digi.no) Skrevet 4. mai 2018 Del Skrevet 4. mai 2018 Lagret brukernes passord i klartekst i en skyggedatabase 1 Lenke til kommentar
nomore Skrevet 4. mai 2018 Del Skrevet 4. mai 2018 Virkelig? I 2018 så klarer en såpass stor aktør som Twitter å gjøre så banale tabber? Lenke til kommentar
timeshift Skrevet 4. mai 2018 Del Skrevet 4. mai 2018 (endret) Flere med lignende angivelig feil. GitHub sendte ut denne meldingen for kun et par dager siden: Hi there, During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users’ passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account. GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored securely in production. To note, GitHub has not been hacked or compromised in any way. You can regain access to your account by resetting your password using the link below:: https://github.com/password_reset If you have any lingering questions or concerns about this, don't hesitate to let us know. You can reach us by emailing [email protected] or by using our contact form: https://github.com/contact Thanks, GitHub Support Ref #19343129 https://news.ycombinator.com/item?id=16971347 Endret 4. mai 2018 av timeshift 1 Lenke til kommentar
eloekset Skrevet 5. mai 2018 Del Skrevet 5. mai 2018 Veldig misvisende overskrift av digi.no. Å kalle logging for en skyggedatabase, får det i denne sammenhengen til å høres ut som at Twitter bevisst har hatt en hemmelig database hvor de med overlegg har lagret kopi av brukernes passord i klartekst. De har jo gått ut med at det har skjedd i loggingen de bruker, og det er temmelig opplagt hva det betyr. Som Timeshift skriver her, har GitHub gjort nettopp samme tabbe. 3 Lenke til kommentar
qualbeen Skrevet 6. mai 2018 Del Skrevet 6. mai 2018 Dette er nok en langt mer utbedre feil/svakhet, enn folk flest tror. Det er slettes ikke uvanlig at "rådata" skrives rett til en loggfil i gitte tilfeller. Riktignok er dette loggfiler som sjeldent varer lenge, og de er ikke strukturert på noen god måte. Men skulle man få fingrene på en slik fil, er det neppe vrient å finne en og annen kombinasjon av brukernavn og passord. (Men kun de brukere som har logget inn i det tidsrom loggen har info om, vil være tilgjengelige.) Å kalle dette for «skyggedatabase» blir i mine øyne helt feil! Lenke til kommentar
G Skrevet 6. mai 2018 Del Skrevet 6. mai 2018 (endret) Herlig, greit at noen hos Twitter vet passordet til Trump'ern da. Sånn at de kan være med på å spre mer svada. Endret 6. mai 2018 av G Lenke til kommentar
Geir Amundsen Skrevet 6. mai 2018 Del Skrevet 6. mai 2018 Første GDPR boten på vei da tenker jeg. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå