Небезопасная разработка в Github

Статья является продолжением статьи: История утечки персональных данных через Github.

Сегодняшняя подборка:

1. Персданные, пароли, рабочие секреты, все в куче

2. Пасхалка с персональными данными в рабочем проекте

3. Креды для доступа в даркнет

Пример 1: хранение всех секретов в Github

Один из разработчиков не только опубликовал свои персональные данные:

Утечка персданных

Так же опубликовал логины и пароли от административных сервисов всех разрабатываемых сайтов. Пример парочки из всех:

Секреты

Админка сайта

Рекомендация разработчику

Хранить секреты надежно (KeePass, Vault), встроить проверки секретов в файлах, например, начав с чего-то простого: Snyk (в Github подключается в пару кликов) либо Gitleaks.

Рекомендация клиенту

Забирать у подрядчиков все секреты и менять их, настроить двухфакторную аутентификацию и закрыть доступ к управляющим интерфейсам напрямую из интернета. Уязвимости в плагинах WordPress не самое страшное.

Пример 2: пасхалка

Знаете, что такое пасхалки? Сможете на скриншотах ниже найти пасхалку?

Пасхалка здесь?

Пасхалка здесь?

Разработчик среди фотографий пиццы разместил и свою фотографию.

Предполагаю, что как и в предыдущей статье, у разработчика на одном компьютере как рабочие так и личные файлы. Разработчик запутался в файлах или Ctrl+C и Ctrl+V?

Рекомендация разработчику

Выполнять рецензию изменений вторым разработчиком. Не верьте возгласам вида "я разрабатываю 17 лет, рецензировать мой код не требуется".

Рекомендация клиенту

Изучать файлы, передаваемые разработчиком в качестве представления реализации.

Пример 3: запрещёнка Роскомнадзором

Разработчик опубликовал свои персональные данные:

Пример персональных данных

Но это не самое интересное почему репозиторий данного разработчика попал в подборку.

Думаете потому, что разработчик тоже является студентом SkillFactory как разработчик из предыдущей статьи?

Один из проектов

Всегда очень интересно, что может находиться на запрещенных сайтах и что покупают разработчики на таких сайтах, но к сожалению сайты заблокированы на территории России. Привет, @Роскомнадзор!

Закрыты, но не для всех. Разработчик опубликовал аутентификационные данные для доступа в свои аккаунты на запрещенных сайтах:

Утечка

Рекомендация разработчику

Не посещайте сайты, которые не рекомендуют посещать компетентные органы, делиться аутентификационными данными можно, все равно сайты недоступны.

PS - облачное хранилище ключей

Бывает так, что иногда просто негде разместить хранилище ключей, размещаешь их в Github:

Может быть по этому правки в 63-ФЗ требуют иметь миллиарды у УЦ?