O GitHub pediu que alguns utilizadores redefinissem as suas palavras-passe depois que um problema que fazia com que os logs internos registrassem as palavras-passe em plain-text.
Alguns utilizadores publicaram no Twitter a comunicação recebida via e-mail pela empresa, o incidente foi descoberto durante uma auditoria interna regular.

A empresa imediatamente esclareceu que seus sistemas não foram invadidos e que os dados dos utilizadores não estão em risco.
De acordo com o GitHub, apenas um “pequeno número” de utilizadores é afetado, a empresa aconselhou-os a redefinir a palavra-passe das suas contas e confirmou ter corrigido o problema.
“GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset,” GitHub said.
A empresa acrescentou que as palavras-passe de texto simples só podiam ser acedidas por meio de ficheiros de log internos acessíveis a uma pequena parte de sua equipa de TI, eles não estavam disponíveis publicamente.

Em junho de 2016, a empresa adotou uma medida semelhante, forçando a redefinição de palavra-passe aos seus clientes depois de perceber que existiam tentativas não autorizadas de acesso a um grande número de contas.
GitHub accounts could represent a mine of information for attackers, in March 2017 threat actors targeted developers having repositories with a data-stealing malware called Dimnie. The malicious code includes keylogging features and modules that capture screenshots, the attackers were searching something of interest among the huge number of projects hosted on the platform.
