Security: Github hat NPM-Passwörter im Klartext geloggt

In der Analyse eines Sicherheitsvorfalls von vor wenigen Wochen schreibt der Code-Hoster Github, dass der Anbieter in der Vergangenheit "eine Reihe von Benutzeranmeldeinformationen für die NPM-Registry im Klartext" in seinen Log-Dateien gespeichert habe. Dies sei nach der Integration von NPM in die Git-Logs geschehen.

Weitere technische Details dazu nennt Github nicht. Es liegt aber nahe, dass NPM oder auch Github selbst nach der Übernahme längst veraltete Entwicklungsansätze verfolgt haben. Immerhin handelt es sich bei dem Loggen von Passwörtern und Zugangsdaten im Klartext um eigentlich leicht vermeidbare Vorfälle. Der Code-Hoster hat eigenen Angaben zufolge das Problem mit den Klartextinformationen in den Logs inzwischen behoben und die alten Logs mit den Zugangsdaten gelöscht. Davon betroffene Nutzer sollen außerdem direkt von Github informiert werden. Angreifer hätten aber zu keiner Zeit Zugang zu den Log-Dateien gehabt.

Veröffentlicht hat Github den Vorfall mit den geloggten Passwörtern als Nebeninformation in einer Analyse zu einer Angriffskampagne, über die das Unternehmen bereits Mitte April erstmals informiert hatte. Damals gelang es Angreifern, sich über entwendete OAuth-Zugangstoken aus den Drittanbieterdiensten Heroku und Travis CI Zugang zur NPM-Infrastruktur von Github zu verschaffen.

Die Angreifer hatten dabei laut Github Zugriff auf ein Backup aus dem Jahr 2015 mit Daten wie Nutzername, Passwörtern als Hashwerte sowie E-Mail-Adressen von etwa 100.000 Nutzern. Hinzu kommen zahlreiche aktuelle Metadaten für NPM-Pakete. Der Code-Hoster versichert aber, dass die Angreifer keine Paketdaten verändert hätten und auch keine Pakete neu veröffentlicht hätten. Der Angriff konnte demnach also nicht zum Verteilen von Malware in dem NPM-Paketsystem genutzt werden.