image

GitHub bewaarde wachtwoorden npm-accounts plaintext in logbestanden

vrijdag 27 mei 2022, 08:46 door Redactie, 4 reacties

GitHub heeft wachtwoorden van een niet nader genoemd aantal npm-gebruikers plaintext in logbestanden bewaard, zo heeft het populaire platform voor softwareontwikkelaars laten weten. Volgens GitHub werd het probleem veroorzaakt doordat data niet goed werd opgeschoond en zo inloggegevens kon bevatten van gebruikers die op verschillende npm-services hebben ingelogd.

Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Het is eigendom van GitHub. Naast wachtwoorden van gebruikers werden ook npm access tokens opgeslagen. Verder trof GitHub in de logbestanden ook een aantal GitHub Personal Access Tokens aan die door gebruikers naar npm waren verstuurd.

Het ontwikkelaarsplatform erkent dat het opslaan van de inloggegevens tegen de security best practices ingaat, maar de logbestanden met de plaintext inloggegevens niet zijn gelekt. Na ontdekking van de inloggegevens heeft GitHub naar eigen zeggen het opschonen van de logs verbeterd en de logs in kwestie verwijderd. Ook kijkt het naar maatregelen om herhaling in de toekomst te voorkomen. De komende dagen worden getroffen gebruikers ingelicht. Om hoeveel gebruikers het gaat en hoelang de plaintext opslag plaatsvond is niet bekendgemaakt.

Reacties (4)
27-05-2022, 09:00 door Anoniem
Nog een reden om gebruik te maken van FIDO2 beveiligingssleutels. Op de achtergrond is dat gebaseerd op publiek-private sleutels, waarbij de server alleen de publieke sleutel hoeft op te slaan. Dan heb je geen risico meer dat de logingegevens kunnen uitlekken, die worden namelijk niet verwerkt op de server maar alleen bij de client(s).

En de echte Cryptonerds zullen wel weer verwijzen naar https://opaque.research.cloudflare.com/, wat natuurlijk ook een oplossing is.
27-05-2022, 10:27 door Anoniem
Door Anoniem: Nog een reden om gebruik te maken van FIDO2 beveiligingssleutels. Op de achtergrond is dat gebaseerd op publiek-private sleutels, waarbij de server alleen de publieke sleutel hoeft op te slaan. Dan heb je geen risico meer dat de logingegevens kunnen uitlekken, die worden namelijk niet verwerkt op de server maar alleen bij de client(s).

En de echte Cryptonerds zullen wel weer verwijzen naar https://opaque.research.cloudflare.com/, wat natuurlijk ook een oplossing is.

Dit gaat ook over "GitHub Personal Access Tokens", wat gewoon plaintext tokens zijn. Waarschijnlijk worden deze naar services gestuurd waar ze worden afgehandeld en "vergeten". Als deze data niet wordt opgeschoond voordat deze gelogd wordt krijg je dit dus. Daar kan een beveiligingssleutel niet veel aan veranderen.
27-05-2022, 13:45 door gradje71 - Bijgewerkt: 27-05-2022, 13:46
Vanwege dit soort blunders wordt nu iedereen die github gebruikt dus verplicht om 2FA te gebruiken. Bravo!
30-05-2022, 19:11 door Anoniem
Door gradje71: Vanwege dit soort blunders wordt nu iedereen die github gebruikt dus verplicht om 2FA te gebruiken. Bravo!
Natuurlijk, en het liefst met een telefoonnummer zodat ze dat ook weer kunnen verkopen
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.