程序员复仇记 | 这些年,GitHub上泄露了些什么?_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 程序员复仇记 | 这些年,GitHub上泄露了些什么?

程序员复仇记 | 这些年,GitHub上泄露了些什么?

 2018/1/30 14:59:45    程序员俱乐部  我要评论(0)
  • 摘要:JohnnyWu:Github是目前全球最大的男性同性交友平台。2014年4月,西雅图乐队netcat把自己的新专辑放在了Github上——只有成功破解的人才能听到。试听地址FreeBuf的读者肯定都知道,Github是一个面向开源及私有软件项目的代码托管平台,免费用户使用的是“公共仓库”,即代码是公开的。付费用户则可以创建使用“私人仓库”。拥有2400万注册用户的Github,担当了程序员的朋友圈和网盘
  • 标签:程序 程序员 什么 Github

  Johnny Wu:Github 是目前全球最大的男性同性交友平台。

042314blog-netcat-100275491-large.idge.jpgoriginal="http://image.3001.net/images/20180130/15172827996417.jpg!small" />

  2014 年 4 月,西雅图乐队 netcat 把自己的新专辑放在了 Github 上——只有成功破解的人才能听到。试听地址

  FreeBuf 的读者肯定都知道,Github 是一个面向开源及私有软件项目的代码托管平台,免费用户使用的是“公共仓库”,即代码是公开的。付费用户则可以创建使用“私人仓库”。

  拥有 2400 万注册用户的 Github,担当了程序员的朋友圈和网盘。

github4.png

  然而 Github 和半封闭的网盘、朋友圈完全不同……或许你已经意识到问题出在哪里了。

  四年前上传私钥,如今是前员工

  去年七月,知名科技媒体 Motherboard 报道了大疆正面临日益壮大的越狱军团的挑战。黑客试图获取大疆无人机的完全控制权——让无人机飞得更高、更快、更远,与大疆为保护用户设置的安全限制产生了矛盾。

motherboard.png

  时隔一个多月,大疆发布了首个“漏洞奖励计划”,鼓励白帽黑客提交产品漏洞,同时发放 100 至 30000 美元的奖励。

大疆漏洞奖励计划 .png

  其实早在 2015 年 10 月 24 日 GeekPwn 黑客大赛现场,选手郭冕成功越狱大疆 Phantom 3 无人机,获得 GeekPwn 超过万元奖金。后来“无人机能够被黑客劫持”还作为案例出现在次年的央视 315 晚会。

大疆 geekpwn.jpg

  不得不说,大疆的“漏洞奖励计划”迟到了至少两年。

  剧情反而狗血起来。2017 年 11 月,白帽黑客 Kevin Finisterre(简称 KF)发表长文分享了他“糟糕的大疆无人机漏洞提交经历”。

  他们获得了大疆员工在 Github 上面发布的 SSL 认证私钥,进而获得储存在大疆服务器上的敏感用户信息。

kf.png

  对于 KF 的报告,大疆方面予以漏洞确认,并同意提供 3 万美元的最高奖金,但附加条件是 KF 不能公开讨论漏洞细节甚至不能提及为大疆从事过安全工作。

  KF 对“不公开”一事产生了质疑,双方协商期间大疆在邮件中威胁用《计算机欺诈和滥用法》起诉他,此举迫使 KF 放弃奖金并公开自己的经历。事后,大疆方面澄清 KF 系竞争对手公司员工,而且利用漏洞私自下载了部分数据。

  孰是孰非,难有定论。

  这个故事中其实还有另一个主角,他将代码放至 Github 酿成如今的争端,而这些秘钥被挂在上面已经四年了。从 KF 最近发布的推特来看,这位大疆的程序员已经离职,而且面临起诉。

kf 推特 .png

  程序员的报复:上传 Github

  有相关统计发现,2016 年 3 月在某漏洞平台搜索 Github 可以匹配到 627 条由其导致的漏洞,覆盖政府机关、企业、医疗、大专院校等等。

  2015 年漏洞盒子调查报告称,众多知名企业内部信息被“托管”到了 Github 上。

  国际房地产服务商竞优集团内部绝密资料在 Github 上泄露,可导致黑客入侵内网漫游,直接导致包括万达集团、中天集团在内的多家知名地产商躺枪。

酒店 .png

  步步高商城开发人员更是把企业员工邮箱、电话等重要隐私信息放到了 Github 上面,还有集团各分店账号、密码。

步步高 .jpg

  2015 年 Uber 宣布大约五万名 Uber 司机信息被泄露, 而作为机密信息的司机数据库访问账号和密码出现在 Github 上,黑客从而进行利用窃取了 Uber 内部数据库。

程序员 .jpg

  2017 年 7 月,锤子科技员工李某提交的文件中包含坚果 Pro 手机的激活数量,与之前“首批 40 万台迅速售罄”的说法相左,数据显示截止 6 月 15 日销量不足 21 万。

锤子 .jpg

  网络的神奇之处不止于此,还有好事者挖出这位锤子内部员工曾在论坛出售优先购买码……

锤子 1.png

  Github 作为当代宝藏,绝不只是传说。

  Github 被玩坏了

  犯错是人的天性。

  上传重要的、不能公开的内容到 Github,这样的蠢事真的很常见。Benny 小土豆在《不小心把密码上传到 Github 了,怎么办》一文中给大家提出几点建议

1、首先改掉对应的密码、尽可能开启双因子验证、作废 API Key 等。

2、不要试图通过修改代码中的敏感信息进行挽救。因为 Git 上的每一次提交历史记录都存在。

3、不要置之不理。

4、最简单的处理办法是删库。(但是绝不鼓励你跑路)

5、通过临时仓库覆盖敏感信息。

6、使用 git filter-branch。

7、使用专用工具 BFG Repo-Cleaner。(主页地址:rtyley.github.io/bfg-repo-cleaner)

  —END—

发表评论
用户名: 匿名