Pull to refresh

История утечки персональных данных через Github

Level of difficultyEasy
Reading time3 min
Views7K

История про одного нерадивого участника воркшопа от GeekBrains.

Пример случайной утечки
Пример случайной утечки

Предыстория

Как обычно я пытался найти в Github информацию об интересной мне компании.

В этот раз меня дорога завела совсем в другую сторону.

Я обнаружил персональную прямую ссылку на документ (персональные данные), которым нельзя по идее с кем-либо делиться. Документ располагается на сайте интересуемой меня компании:

Пример прямой ссылки
Пример прямой ссылки

Я подумал, что это очередной новый SMS-бомбер, но все оказалось иначе.

Открыв файл сразу понял, что это логин и пароль от сайта выделенного синим цветом. Этот сайт не связан с компанией интересующей меня:

Файл "Ссылка на текст"
Файл "Ссылка на текст"

Исследование

Открыв историю изменения стало понятно следующее. Как оказалось, некий пользователь последним коммитом добавил 754 файла с персональными данными и иной конфиденциальной информацией:

Разглашение персональных данных
Разглашение персональных данных

Пример данных среди файлов:

Водительское удостоверение
Водительское удостоверение

Как так получилось?

Итак, история уже никак не связана с компанией, что меня интересует. Как так получилось? Я тоже задался этим вопросом. Я открыл его репозиторий Test и сразу стало понятно по комментариям почему так получилось:

Файлы на рабочем столе
Файлы на рабочем столе

Изучая остальные репозитории мы подтверждаем связь с GeekBrains:

Список репозиториев
Список репозиториев

Студент научился форкать репозиторий преподавателя и создавать репозитории, а так же загружать в них файлы, не разбираясь, что конкретно загружает.

Изучаем программу данного воркшопа:

Программа курса

Соответствие групп и тем на практикум.

  1. Что такое система контроля версий

  2. Для чего нужна система контроля версий

  3. Установка git на ваш ПК (в зависимости от системы)

  4. Установка VSCode на ваш ПК

  5. Что такое репозиторий и инструкция по созданию локальных репозиториев.

  6. Базовая работа с локальным репозиторием

  7. Что такое ветки и для чего они нужны при работе с системой контроля версий.

  8. Базовая работа с ветками в git.

  9. Что такое удаленный репозиторий и для чего он нужен

  10. Базовая работа с удаленными репозиториями GitHub

  11. Как строится и для чего нужна совместная работа в системах контроля версий

  12. Инструкция по созданию pull request

  13. Книги и полезные ссылки по изучению git.

  14. Альтернативные системы контроля версий.

Не хватает раздела про аудит репозитория и правилам удаления репозитория?

Все файлики о которых шла речь ранее в репозитории с рабочего стола разложены по папочкам:

Так же изучая историю действий пользователя, я наконец понял как все произошло.

Некая Анастасия, обучаясь в GeekBrains, выполняла задания за общим компьютером, которым пользуются другие члены семьи, в том числе по рабочим задачам, связанным с обработкой персональных данных водителей. В итоге в результате обучения рабочая папка, расположенная на рабочем столе ученика, была ошибочно загружена в Github вместе с иными файлами в репозиторий Test.

Выводы

  1. Пользователь, имеющий доступ к персональным данным других физических лиц, предположительно законным образом не имеющий к ним доступ, пытается войти в ИТ;

  2. GeekBrains пытались его обучить;

  3. Из этого ничего не вышло;

  4. Ученик даже не понял, что сделал;

  5. Преподаватель слабо проконтролировал то, что делал ученик;

  6. Пользователь удалил репозиторий;

  7. Во время обучения подробно изучайте всё, что выделаете по два раза, если что-то непонятно, не стесняйтесь спрашивать у лектора и знакомых;

  8. Лекторы недостаточно качественно изучают то, что делают их студенты.

P.S.

Если нет желания удалять репозиторий, то удалять конфиденциальные данные необходимо согласно инструкции: Removing sensitive data from a repository - GitHub Docs

Даже я сегодня в одном из своих репозиториев обнаружил Google API key который я разгласил в 2019 году:

Будьте осторожны.

Only registered users can participate in poll. Log in, please.
Бывало у вас подобное?
19.34% Да35
55.8% Нет101
24.86% НЕ уверен45
181 users voted. 20 users abstained.
Tags:
Hubs:
Total votes 6: ↑4 and ↓2+2
Comments18

Articles