URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131393
[ Назад ]
Исходное сообщение
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено opennews , 01-Сен-23 12:26 
Проект Sourcegraph, развивающий движок для навигации по исходным текстам, рефакторинга и поиска в коде, раскрыл сведения об инциденте, в результате которого злоумышленники получили доступ к сайту Sourcegraph.com с правами администратора. Атакующим удалось загрузить данные о пользователях Sourcegraph, включающие email-адреса зарегистрированных пользователей, имена и email коммерческих клиентов и лицензионные ключи некоторых коммерческих пользователей...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59696

Содержание
Сообщения в этом обсуждении
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 12:26 
когда уже chatgpt научится такие токены публично оставленные искать
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 12:48 
Пока что чатгпт только требует чтобы ему платили за токены.
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 13:26 
а chatgpt умеет искать? вы ничего не напутали?
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 18:06 
Ну там ему надо правильно объяснить. Причём тому, который за деньги. Тогда чего-нибудь сделает, что можно полезно использовать.

Вещь неплохая, но вещь за абонентскую плату.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 20:33 
Selfhost решения нет? Проприетарный это чатджипити?
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 21:19 
> Selfhost решения нет?

а у тебя уже есть Host на сотни терабайт и десятки тысяч A100, чтоб его крутить?

или надеешься, что твой Целерон для 775 с Радеон X1300, 2 ГБ DDR2 и 40 ГБ UATA2 за год обсчитает один запрос и не сгорит от натуги?

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено пох. , 01-Сен-23 23:22 
А надо? Большие ресурсы требуются для обучения модели, а не для эксплуатации уже обученной для единственного пользователя.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено don Rumata , 02-Сен-23 13:45 
Есть https://github.com/trufflesecurity/trufflehog
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 12:38 
Шел разраб по своему локальному working tree. Видит — токен с правами администратора. Взял и запушил его в репозиторий.
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 12:46 
Всегда так делаю, вирусов нет, ЧЯДНТ?
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Вирус , 01-Сен-23 16:09 
Ты видишь вируса?! А он есть!
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 14:12 
Пока ты фетчишь, остальные уже запушат!
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 14:18 
лично я пуллю
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноньимъ , 01-Сен-23 12:50 
Совсем мозги девляпсов в сало превратились.

Все в репозиторий, конфиг гитконфига в Гите чтобы хранить докер конфиг для гит репозитория с ключами в Гите.

Камтиниус интергетион. Камфиг ас а сервис.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 13:00 
Можно не держать конфиг в гите, если вся инфраструктура -- это 127.0.0.1.
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено YetAnotherOnanym , 01-Сен-23 13:36 
> движок для навигации по исходным текстам, рефакторинга и поиска в коде
> токен одного из администраторов сайта, случайно сохранённый в публично доступном репозитории проекта

Догадаются добавить поиск токенов в коде?

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 18:10 
Догадаются прятать токен. И так до бесконечности гонка за ресурсы.

Проблема в человеке и команде. Есть команды, где пароли закоммичены в репо. Поэтому, выясняя свойства будущего места работы, полезно почитать их репо. Будет виден стиль и уровень в работе.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено пох. , 01-Сен-23 20:27 
А как ты этот репо найдешь-то, я вообще в другом городе?!

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 02-Сен-23 01:09 
Через поисковик из любопытства, т.к. токен по тексту новости буквально "в публично доступном репозитории проекта".
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено пох. , 02-Сен-23 09:16 
> Через поисковик из любопытства, т.к. токен по тексту новости буквально "в публично
> доступном репозитории проекта".

мало ли у нас публичных репозиториев о которых мы и сами не знаем...


"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 14:38 
>токен одного из администраторов сайта

Почему теперь слово "пароль" заменяют на "токен"?

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 14:44 
> Почему теперь слово "пароль" заменяют на "токен"?

почему вообще поссумов стали называть опоссумами? типа на ирландский манер что ли? почему постоянно надо все переименовывать?

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Опеннет познавательный , 01-Сен-23 15:33 
> почему вообще поссумов стали называть опоссумами? типа на ирландский манер что ли?
> почему постоянно надо все переименовывать?

Так только невежды делают, ведь поссумы это млекопитающие отряда двурезцовые сумчатые, семейства кускусовые, а опоссумы, это млекопитающие отряда ососсумы, семейства опоссумовые.

Это примерно как сказать, что какие-то чудаки называют уток утконосами.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено пох. , 01-Сен-23 17:41 
> Так только невежды делают, ведь поссумы это млекопитающие отряда двурезцовые сумчатые,
> семейства кускусовые, а опоссумы, это млекопитающие отряда ососсумы, семейства опоссумовые.

а какая разница? Оба некошерные. Мерзость.

> Это примерно как сказать, что какие-то чудаки называют уток утконосами.

это вот на букву м чудаки. Утку можно. Утконоса нельзя, он в перечень даже теоретически попасть не мог. Как можно перепутать?!


"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Опоссум_пох_дот , 01-Сен-23 19:55 
А ты чего так нервничаешь в комментариях под этой новостью?
Уж не ты ли был тем самым администратором Sourcegraph у которого токен утек?)))
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено пох. , 01-Сен-23 20:26 
> А ты чего так нервничаешь в комментариях под этой новостью?

Нервничаю?! Да я наслаждаюсь. Прекрасная ж новость, что не так-то?!

> Уж не ты ли был тем самым администратором Sourcegraph

увы, нет.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Иваня , 01-Сен-23 15:17 
Мы все люди, а людям свойственно ошибаться. Вы не исключение!
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 18:22 
>>токен одного из администраторов сайта
>Почему теперь слово "пароль" заменяют на "токен"?

Заменяют не слово пароль, а чаще используют обезличенные системы доступа. Ключ подходит к замку, но не привязан к имени.

Слово пароль чаще используют в связке логин-пароль - есть логин и к нему есть пароль. Слово токен чаще используют когда логин не используется совсем.

В т.ч. токен бывает с ограниченным временем действия. Выписали на 5 минут, провели короткую работу с API за десяток секунд и потом токен протух "сам по себе".

Работа по аутентификации с логином-паролем и затем выпуску токена может быть относительно нагрузочной. А при использовании готового токена можно аутентифицировать проще. Тем самым: один раз на сессию проверил что пришёл именно логин, выписал ему для работы токен, и токен отозвал через пять минут. Пусть логин приходит за новым токеном снова и продолжает дальше.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 18:23 
Специфика высокой нагрузки по сети.
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним2 , 01-Сен-23 23:53 
Потому что не заменяют
Токен != пароль
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 02-Сен-23 09:05 
Токен самодостаточен, в отличие от пароля
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 15:19 
Клоунские шаред хостинги гита не умеют запускать pre-receive хуки для таких яжпрограммистов? Вот это открытие!
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 18:26 
А он спрячет токен в base64 и присолит именем файла, так что хуком не увидишь.

Если человек не хочет напрягаться, то бороться очень трудно и затратно.

Можно делать ревью кода, находить и убирать такое отношение у человека.

"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено жявамэн , 01-Сен-23 15:31 
узнал о таком сайте из новости.
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Иваня , 01-Сен-23 16:07 
Отстаёшь от трендов современности :(
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Жеванноштопанный пох_Ля , 01-Сен-23 18:45 
Ужасная история с Sourcegraph.
Подскажите, какие действия планирует осуществлять администрация взломанного ресурса для предотвращения подобных инцидентов в будущем?
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено Аноним , 01-Сен-23 21:25 
никаких. зачем?
"Атакующие получили доступ к сайту проекта Sourcegraph"
Отправлено InuYasha , 02-Сен-23 10:42 
> случайно сохранённый в публично доступном репозитории проекта.

:D typical git user .com