Security: Github hat NPM-Passwörter im Klartext geloggt

Die Untersuchung eines Sicherheitsvorfalls bei Github bringt neue und unerwartete Erkenntnisse zu NPM.

Artikel veröffentlicht am ,
Github hat Zugangsdaten im Klartext in Log-Dateien gespeichert.
Github hat Zugangsdaten im Klartext in Log-Dateien gespeichert. (Bild: Github)

In der Analyse eines Sicherheitsvorfalls von vor wenigen Wochen schreibt der Code-Hoster Github, dass der Anbieter in der Vergangenheit "eine Reihe von Benutzeranmeldeinformationen für die NPM-Registry im Klartext" in seinen Log-Dateien gespeichert habe. Dies sei nach der Integration von NPM in die Git-Logs geschehen.

Stellenmarkt
  1. EDV-Organisationsberater*in IT-Administration
    Evangelische Kirche in Hessen und Nassau, Darmstadt
  2. Wissenschaftl. Mitarbeiter*in - Kommunikations-Infrastruktur- en für datengetriebene Techn. ... (m/w/d)
    Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA, Stuttgart
Detailsuche

Weitere technische Details dazu nennt Github nicht. Es liegt aber nahe, dass NPM oder auch Github selbst nach der Übernahme längst veraltete Entwicklungsansätze verfolgt haben. Immerhin handelt es sich bei dem Loggen von Passwörtern und Zugangsdaten im Klartext um eigentlich leicht vermeidbare Vorfälle. Der Code-Hoster hat eigenen Angaben zufolge das Problem mit den Klartextinformationen in den Logs inzwischen behoben und die alten Logs mit den Zugangsdaten gelöscht. Davon betroffene Nutzer sollen außerdem direkt von Github informiert werden. Angreifer hätten aber zu keiner Zeit Zugang zu den Log-Dateien gehabt.

Veröffentlicht hat Github den Vorfall mit den geloggten Passwörtern als Nebeninformation in einer Analyse zu einer Angriffskampagne, über die das Unternehmen bereits Mitte April erstmals informiert hatte. Damals gelang es Angreifern, sich über entwendete OAuth-Zugangstoken aus den Drittanbieterdiensten Heroku und Travis CI Zugang zur NPM-Infrastruktur von Github zu verschaffen.

Die Angreifer hatten dabei laut Github Zugriff auf ein Backup aus dem Jahr 2015 mit Daten wie Nutzername, Passwörtern als Hashwerte sowie E-Mail-Adressen von etwa 100.000 Nutzern. Hinzu kommen zahlreiche aktuelle Metadaten für NPM-Pakete. Der Code-Hoster versichert aber, dass die Angreifer keine Paketdaten verändert hätten und auch keine Pakete neu veröffentlicht hätten. Der Angriff konnte demnach also nicht zum Verteilen von Malware in dem NPM-Paketsystem genutzt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Totally_Not_A_S... 01. Jun 2022 / Themenstart

Der regelmäßige Wechsel hast aber zumindest einen deutlich geringeren Stellenwert in...

Fwk 31. Mai 2022 / Themenstart

Sonst meckern die user bei allem aber bei GitHub scheint ja alles in Ordnung. Traurig...

Kommentieren



Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  2. Hermit: Google analysiert italienischen Staatstrojaner
    Hermit
    Google analysiert italienischen Staatstrojaner

    Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

  3. Pro Electric SuperVan: Ford zeigt Elektro-Van mit 1.490 kW
    Pro Electric SuperVan
    Ford zeigt Elektro-Van mit 1.490 kW

    Ford hat auf dem Goodwood Festival of Speed den Ford Pro Electric SuperVan gezeigt, der die Tradition der Transit-Showcars des Unternehmens fortsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /