Dalam email yang dikirim pada awal bulan ini, GitHub telah memperingatkan sejumlah pengguna terpilih bahwa bug dalam fungsi pengaturan ulang kata sandinya telah mencatat kata sandi pengguna dalam format plaintext di dalam log internal perusahaan.

Perusahaan mengatakan bahwa kata sandi plaintext hanya dihadapkan pada sejumlah kecil karyawan GitHub dengan akses ke log tersebut. Tidak ada pengguna GitHub lain yang telah melihat kata sandi plaintext pengguna, kata perusahaan itu.

GitHub mengatakan bahwa biasanya, kata sandi aman, karena mereka di-hash dengan algoritma bcrypt. Perusahaan itu menyalahkan bug karena kata sandi plaintext berakhir di log internalnya. Hanya pengguna yang baru saja mereset kata sandi yang terpengaruh.

Bug penyimpanan kata sandi plaintext ditemukan selama audit rutin

GitHub mengatakan menemukan kesalahannya selama audit rutin dan menjelaskan bahwa servernya tidak diretas.

Puluhan pengguna berbagi gambar dari email GitHub yang mereka terima di Twitter. Awalnya, pengguna menganggap ini adalah kampanye phishing besar-besaran, tetapi pesan itu ternyata berasal dari GitHub yang sebenarnya.

Pada Juni 2016, GitHub juga pernah mengirimkan email pengaturan ulang kata sandi kepada pelanggan setelah seorang aktor yang tidak dikenal mencoba mengakses akun GitHub menggunakan kata sandi yang bocor secara online pada saat itu, melalui LinkedIn, Dropbox, MySpace, dan pelanggaran besar lainnya pada tahun 2016.

Teks lengkap dari email yang dikirim GitHub tersedia di bawah ini: