GitHub, se ha convertido en la plataforma ideal para desarrolladores que desean compartir el código fuente de sus proyectos con una amplia comunidad, en vista de que este sitio permite alojar desarrollos públicos y privados, muchas empresas trabajan mediante este repositorio, es por eso que la seguridad es vital. Ya que deben protegerse de cualquier “maleante”. Si bien, hace unos meses sobrevivieron al mayor ataque DDos de la historia, una nueva vulnerabilidad puede dejar expuesta información delicada de sus usuarios.
De acuerdo con la fuente, GitHub informó mediante un correo electrónico sobre un pequeño problema en la autenticación detectado hace poco, este fallo de seguridad ocasionó que el sitio guarde accidentalmente las contraseñas de sus usuarios únicamente en texto plano, sin pasar por el algoritmo de cifrado.
La compañía reconoció haber detectado el fallo durante una auditoría de rutina, varios usuarios compartieron en su red social Twitter, la captura del correo enviado por GitHub, donde le consultan si desea cambiar su contraseña.
@github asked me to change password. pic.twitter.com/NgRVb2vVCX
— Bobinson K B (@bobinson) May 1, 2018
Aunque inicialmente todos pensaron que se trataba de un email malicioso, finalmente notaron que era realmente GitHub el remitente.
GitHub aplica el algoritmo bcrypt para encriptar las claves, sin embargo, un fallo en los últimos cambios del código, permitieron que las contraseñas de los usuarios se guardaran en los archivos logs de mantenimiento en texto plano. Por fortuna, estas claves solo fueron expuestas a nivel interno, sin embargo, desde el sitio emitieron el comunicado vía email para que los usuarios cambiaran sus contraseñas por medidas de seguridad.
