Как стать автором
Обновить

Небезопасная разработка в Github

Уровень сложности Простой
Время на прочтение 2 мин
Количество просмотров 5.5K

Статья является продолжением статьи: История утечки персональных данных через Github.

Сегодняшняя подборка:

  1. Персданные, пароли, рабочие секреты, все в куче

  2. Пасхалка с персональными данными в рабочем проекте

  3. Креды для доступа в даркнет

Пример 1: хранение всех секретов в Github

Один из разработчиков не только опубликовал свои персональные данные:

Утечка персданных
Утечка персданных

Так же опубликовал логины и пароли от административных сервисов всех разрабатываемых сайтов. Пример парочки из всех:

Секреты
Секреты
Админка сайта
Админка сайта

Рекомендация разработчику

Хранить секреты надежно (KeePass, Vault), встроить проверки секретов в файлах, например, начав с чего-то простого: Snyk (в Github подключается в пару кликов) либо Gitleaks.

Рекомендация клиенту

Забирать у подрядчиков все секреты и менять их, настроить двухфакторную аутентификацию и закрыть доступ к управляющим интерфейсам напрямую из интернета. Уязвимости в плагинах WordPress не самое страшное.

Пример 2: пасхалка

Знаете, что такое пасхалки? Сможете на скриншотах ниже найти пасхалку?

Пасхалка здесь?
Пасхалка здесь?
Пасхалка здесь?
Пасхалка здесь?

Разработчик среди фотографий пиццы разместил и свою фотографию.

Предполагаю, что как и в предыдущей статье, у разработчика на одном компьютере как рабочие так и личные файлы. Разработчик запутался в файлах или Ctrl+C и Ctrl+V?

Рекомендация разработчику

Выполнять рецензию изменений вторым разработчиком. Не верьте возгласам вида "я разрабатываю 17 лет, рецензировать мой код не требуется".

Рекомендация клиенту

Изучать файлы, передаваемые разработчиком в качестве представления реализации.

Пример 3: запрещёнка Роскомнадзором

Разработчик опубликовал свои персональные данные:

Пример персональных данных
Пример персональных данных

Но это не самое интересное почему репозиторий данного разработчика попал в подборку.

Думаете потому, что разработчик тоже является студентом SkillFactory как разработчик из предыдущей статьи?

Один из проектов
Один из проектов

Всегда очень интересно, что может находиться на запрещенных сайтах и что покупают разработчики на таких сайтах, но к сожалению сайты заблокированы на территории России. Привет, @Роскомнадзор!

Закрыты, но не для всех. Разработчик опубликовал аутентификационные данные для доступа в свои аккаунты на запрещенных сайтах:

Утечка
Утечка

Рекомендация разработчику

Не посещайте сайты, которые не рекомендуют посещать компетентные органы, делиться аутентификационными данными можно, все равно сайты недоступны.

PS - облачное хранилище ключей

Бывает так, что иногда просто негде разместить хранилище ключей, размещаешь их в Github:

Может быть по этому правки в 63-ФЗ требуют иметь миллиарды у УЦ?

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Допускали подобные ошибки?
4.88% Да 4
68.29% Нет 56
26.83% НЕ уверен 22
Проголосовали 82 пользователя. Воздержались 8 пользователей.
Теги:
Хабы:
+2
Комментарии 7
Комментарии Комментарии 7

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн