The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

31.12.2014 10:20  Невозможность удаления данных, по ошибке опубликованных на GitHub

Джордан Райт (Jordan Wright) рассмотрел ситуацию с удалением по ошибке опубликованных на GitHub данных, например, паролей, ключей доступа или информации, не предназначенной для публичного доступа. Несмотря на наличие в GitHub специальных средств для полного вычищения определённых изменений из репозиториев, на деле попавшую на GitHub информацию можно считать безвозвратно открытой для публики.

Причиной невозможности удалить данные даже, если того пожелает администрация GitHub, является проект GHTorrent, который через Github REST API отслеживает все изменения на GitHub и оперативно зеркалирует их в независимом распределённом хранилище. Таким образом, если в Github случайно оказался сохранён пароль доступа, необходима его срочная смена, а если в репозиторий сохранен не предназначенный для публикации код, то стоит смириться с его доступностью для всех желающих.

В качестве примера того, что утечки данных активно отслеживаются и используются злоумышленниками, приводится произошедший на днях случай с одним из разработчиков на языке Ruby, который сохранил на Github тестовое приложение, забыв удалить параметры входа в Amazon AWS. На следующий день пользователь обнаружил 140 запущенных окружений Amazon EC2, выполняющих майнинг bitcoin. Размер счёта за работу данных окружений составил $2375. И это при том, что публикация пароля была совершена в никому неизвестном репозитории, сразу замечена и данные были удалены в течение 5 минут после их появления.

  1. Главная ссылка к новости (https://jordan-wright.github.i...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.11, Аноним, 12:51, 31/12/2014 [ответить] [смотреть все]
  • +5 +/
    Как то раз, я оставил на скамейке в метро кошелек с деньгами Вернулся через 5 м... весь текст скрыт [показать]
     
     
  • 2.16, Sova, 14:20, 31/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Не виноват. Но предупреждают, что скамейка привлекает множество "умных" людей.
     
  • 2.25, jh, 20:35, 31/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не корректное сравнение ближе - вы достали карточку на 5 минут, ее сфотографиро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 10:18, 01/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Ты еще скажи что печатаешь пинкод не прикрывая клавиатуру рукой и не проверяя чт... весь текст скрыт [показать]
     
  • 1.15, Нанобот, 14:18, 31/12/2014 [ответить] [смотреть все]  
  • +/
    кстати, чуваку простили эти $2375
     
     
  • 2.18, Alexander, 16:15, 31/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    а прочитать первоисточник Lucky for me, I explained my situation to Amazon cus... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Нанобот, 16:53, 31/12/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    ну так я об этом и писал
     
     
  • 4.20, Alexander, 17:35, 31/12/2014 [^] [ответить] [смотреть все]  
  • +/
    упс увидел суслика в смысле знак вопроса сорри... весь текст скрыт [показать]
     
  • 2.22, Аноним, 18:31, 31/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Облака вообще интересны возможностью попасть на много денег Видал как-то залет ... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, Аноним, 14:56, 31/12/2014 [ответить] [смотреть все]  
  • +4 +/
    Надуманная проблема Если данные утекли в сеть хоть и на 10 секунд, то по хороше... весь текст скрыт [показать]
     
     
  • 2.27, all_glory_to_the_hypnotoad, 23:46, 31/12/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Этот чел относится к категории людей которые считают что упавший бутерброд в гря... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Аноним, 18:49, 31/12/2014 [ответить] [смотреть все]  
  • +1 +/
    Более того, гитхабовский гайд по удалению приватной инфы из репы так и говорит -... весь текст скрыт [показать]
     
  • 1.26, pavlinux, 22:48, 31/12/2014 [ответить] [смотреть все]  
  • +2 +/
    Посаны, по ГОСТу, DoDy, ФЕНШУЙю - комп, подключенный к сети, уже считается недоверенным узлом/устройством.  
     
     
  • 2.28, Аноним, 07:23, 01/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    ЧСХ, на это есть определенные причины. Вполне валидные.
     
  • 1.29, edwin3d, 09:57, 01/01/2015 [ответить] [смотреть все]  
  • –1 +/
    Скупой платит дважды, убеждаемся в очередной раз.
    Если мальчик говнокодер не в курсе, что все не приватные репозитарии открыты для публичного доступа .... это все равно, что я положу кошелек с баблом на никому не известной лавке в парке, а на входе в парк будет выведена информация где и что оставлено.
    Есть желание что-то скрыть - возьми приватный репозитарий.
    Хочешь много - бери сервант, разворачивай GitLab и ...
    Новость для говнокодерья конечно полезная, но по сути ...  
     
     
  • 2.31, Аноним, 10:22, 01/01/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    а потом случайно узнай что по факту - у кого сервера, тот и прав, а приватны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, arisu, 11:27, 01/01/2015 [^] [ответить] [смотреть все]  
  • +/
    угу я так думаю, куча народа уже крутит в руках исходники четвёртого анрыла ск... весь текст скрыт [показать]
     
  • 3.33, edwin3d, 12:48, 01/01/2015 [^] [ответить] [смотреть все]  
  • +/
    Гражданин хороший, мне лично кажется, Вы как-то невнимательно читали новость В ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor