GitHub bewaarde wachtwoorden npm-accounts plaintext in logbestanden
GitHub heeft wachtwoorden van een niet nader genoemd aantal npm-gebruikers plaintext in logbestanden bewaard, zo heeft het populaire platform voor softwareontwikkelaars laten weten. Volgens GitHub werd het probleem veroorzaakt doordat data niet goed werd opgeschoond en zo inloggegevens kon bevatten van gebruikers die op verschillende npm-services hebben ingelogd.
Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Het is eigendom van GitHub. Naast wachtwoorden van gebruikers werden ook npm access tokens opgeslagen. Verder trof GitHub in de logbestanden ook een aantal GitHub Personal Access Tokens aan die door gebruikers naar npm waren verstuurd.
Het ontwikkelaarsplatform erkent dat het opslaan van de inloggegevens tegen de security best practices ingaat, maar de logbestanden met de plaintext inloggegevens niet zijn gelekt. Na ontdekking van de inloggegevens heeft GitHub naar eigen zeggen het opschonen van de logs verbeterd en de logs in kwestie verwijderd. Ook kijkt het naar maatregelen om herhaling in de toekomst te voorkomen. De komende dagen worden getroffen gebruikers ingelicht. Om hoeveel gebruikers het gaat en hoelang de plaintext opslag plaatsvond is niet bekendgemaakt.
Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.
