GitHub es actualmente la mayor plataforma de desarrollo, versionado y colaboración para todo tipo de proyectos de código abierto. En esta plataforma existen una gran cantidad de proyectos, tanto abiertos como privados, creados por todo tipo de desarrolladores, desde aficionados hasta profesionales, participando incluso grandes empresas como Google o Microsoft. La seguridad de esta plataforma es vital para evitar que otros puedan apoderarse de nuestro trabajo, o modificarlo para, por ejemplo, ocultar malware en el código como si fuese legítimo. Por desgracia, un fallo en la programación de esta plataforma ha estado guardando las contraseñas de sus usuarios sin cifrar, poniendo en peligro sus cuentas y todo su trabajo.

Ayer mismo, GitHub informaba a un gran número de usuarios sobre un fallo de seguridad que había sido detectado en una de las últimas auditorías rutinarias de la plataforma. Este fallo de seguridad ha estado volcando las contraseñas de los usuarios en texto plano, sin cifrar, dentro de los propios logs de la plataforma.

La compañía guarda todas las contraseñas de todos los usuarios de forma segura aplicándolas un algoritmo bcrypt para evitar que nadie pueda hacerse con ellas sin permiso. Sin embargo, debido a un fallo de programación de uno de los últimos cambios implementados dentro de esta web, las contraseñas de los usuarios se han estado registrando en los propios logs de mantenimiento de GitHub sin ningún tipo de cifrado.

En esta ocasión, las contraseñas solo se han expuesto a nivel interno en los propios logs de mantenimiento de los servidores, por lo que estas contraseñas no han caído, en un principio, en malas manos. De todas formas, por seguridad, es recomendable cambiar la contraseña de acceso a nuestra plataforma, igual que del resto de webs y plataformas donde pudiéramos usar la misma contraseña.

Qué hacer si mi contraseña de GitHub se ha registrado en estos logs sin cifrar

Los responsables de GitHub aseguran que solo los usuarios que han recibido el correo para restablecer la contraseña se han visto afectados por este problema de seguridad, por lo que los demás usuarios no tienen de qué preocuparse, ya que sus contraseñas no se han visto expuestas.

Si hemos recibido este correo de GitHub, podemos cambiar fácilmente nuestra contraseña desde el enlace que se nos facilita en el correo (siempre y cuando verifiquemos que el correo es legítimo y estamos navegando por la web de GitHub y no por otra suplantada).

En caso de no haber recibido este correo, si queremos asegurarnos y aprovechar la ocasión para cambiar la contraseña, también podemos hacerlo manualmente iniciando sesión en GitHub, entrando en el menú de Preferencias y cambiando la contraseña dentro del apartado “Account”.

Además, si queremos una seguridad extra, deberíamos aprovechar para habilitar la doble autenticación desde el apartado “Security” para que, en caso de que alguna vez se filtre nuestra contraseña, al menos podamos estar seguros de que, sin nuestra clave aleatoria, no se puede acceder a nuestra cuenta.

¿Crees que las grandes plataformas como GitHub deberían cuidar más sus plataformas para evitar exponer las contraseñas de los usuarios?