freebuf
2014 年 4 月,西雅图乐队 netcat 把自己的新专辑放在了 Github 上——只有成功破解的人才能听到。试听地址
FreeBuf 的读者肯定都知道,Github 是一个面向开源及私有软件项目的代码托管平台,免费用户使用的是“公共仓库”,即代码是公开的。付费用户则可以创建使用“私人仓库”。
拥有 2400 万注册用户的 Github,担当了程序员的朋友圈和网盘。
然而 Github 和半封闭的网盘、朋友圈完全不同......或许你已经意识到问题出在哪里了。
四年前上传私钥,如今是前员工
去年七月,知名科技媒体 Motherboard 报道了大疆正面临日益壮大的越狱军团的挑战。黑客试图获取大疆无人机的完全控制权——让无人机飞得更高、更快、更远,与大疆为保护用户设置的安全限制产生了矛盾。
时隔一个多月,大疆发布了首个“漏洞奖励计划”,鼓励白帽黑客提交产品漏洞,同时发放 100 至 30000 美元的奖励。
其实早在 2015 年 10 月 24 日 GeekPwn 黑客大赛现场,选手郭冕成功越狱大疆 Phantom 3 无人机,获得 GeekPwn 超过万元奖金。后来“无人机能够被黑客劫持”还作为案例出现在次年的央视 315 晚会。
不得不说,大疆的“漏洞奖励计划”迟到了至少两年。
剧情反而狗血起来。2017 年 11 月,白帽黑客 Kevin Finisterre(简称 KF)发表长文分享了他“糟糕的大疆无人机漏洞提交经历”。
他们获得了大疆员工在 Github 上面发布的 SSL 认证私钥,进而获得储存在大疆服务器上的敏感用户信息。
对于 KF 的报告,大疆方面予以漏洞确认,并同意提供 3 万美元的最高奖金,但附加条件是 KF 不能公开讨论漏洞细节甚至不能提及为大疆从事过安全工作。
KF 对“不公开”一事产生了质疑,双方协商期间大疆在邮件中威胁用《计算机欺诈和滥用法》起诉他,此举迫使 KF 放弃奖金并公开自己的经历。事后,大疆方面澄清 KF 系竞争对手公司员工,而且利用漏洞私自下载了部分数据。
孰是孰非,难有定论。
这个故事中其实还有另一个主角,他将代码放至 Github 酿成如今的争端,而这些秘钥被挂在上面已经四年了。从 KF 最近发布的推特来看,这位大疆的程序员已经离职,而且面临起诉。
程序员的报复:上传 Github
有相关统计发现,2016 年 3 月在某漏洞平台搜索 Github 可以匹配到 627 条由其导致的漏洞,覆盖政府机关、企业、医疗、大专院校等等。
2015 年漏洞盒子调查报告称,众多知名企业内部信息被“托管”到了 Github 上。
国际房地产服务商竞优集团内部绝密资料在 Github 上泄露,可导致黑客入侵内网漫游,直接导致包括万达集团、中天集团在内的多家知名地产商躺枪。
步步高商城开发人员更是把企业员工邮箱、电话等重要隐私信息放到了 Github 上面,还有集团各分店账号、密码。
2015 年 Uber 宣布大约五万名 Uber 司机信息被泄露, 而作为机密信息的司机数据库访问账号和密码出现在 Github 上,黑客从而进行利用窃取了 Uber 内部数据库。
2017 年 7 月,锤子科技员工李某提交的文件中包含坚果 Pro 手机的激活数量,与之前“首批 40 万台迅速售罄”的说法相左,数据显示截止 6 月 15 日销量不足 21 万。
网络的神奇之处不止于此,还有好事者挖出这位锤子内部员工曾在论坛出售优先购买码......
Github 作为当代宝藏,绝不只是传说。
Github 被玩坏了
犯错是人的天性。
上传重要的、不能公开的内容到 Github,这样的蠢事真的很常见。Benny 小土豆在《不小心把密码上传到 Github 了,怎么办》一文中给大家提出几点建议:
1、首先改掉对应的密码、尽可能开启双因子验证、作废 API Key 等。
2、不要试图通过修改代码中的敏感信息进行挽救。因为 Git 上的每一次提交历史记录都存在。
3、不要置之不理。
4、最简单的处理办法是删库。(但是绝不鼓励你跑路)
5、通过临时仓库覆盖敏感信息。
6、使用 git filter-branch。
7、使用专用工具 BFG Repo-Cleaner。(主页地址:rtyley.github.io/bfg-repo-cleaner)
---END---
转载请注明来自网盾网络安全培训,本文标题:《程序员复仇记 | 这些年,GitHub 上泄露了些什么?》
标签:
