The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

31.12.2014 10:20  Невозможность удаления данных, по ошибке опубликованных на GitHub

Джордан Райт (Jordan Wright) рассмотрел ситуацию с удалением по ошибке опубликованных на GitHub данных, например, паролей, ключей доступа или информации, не предназначенной для публичного доступа. Несмотря на наличие в GitHub специальных средств для полного вычищения определённых изменений из репозиториев, на деле попавшую на GitHub информацию можно считать безвозвратно открытой для публики.

Причиной невозможности удалить данные даже, если того пожелает администрация GitHub, является проект GHTorrent, который через Github REST API отслеживает все изменения на GitHub и оперативно зеркалирует их в независимом распределённом хранилище. Таким образом, если в Github случайно оказался сохранён пароль доступа, необходима его срочная смена, а если в репозиторий сохранен не предназначенный для публикации код, то стоит смириться с его доступностью для всех желающих.

В качестве примера того, что утечки данных активно отслеживаются и используются злоумышленниками, приводится произошедший на днях случай с одним из разработчиков на языке Ruby, который сохранил на Github тестовое приложение, забыв удалить параметры входа в Amazon AWS. На следующий день пользователь обнаружил 140 запущенных окружений Amazon EC2, выполняющих майнинг bitcoin. Размер счёта за работу данных окружений составил $2375. И это при том, что публикация пароля была совершена в никому неизвестном репозитории, сразу замечена и данные были удалены в течение 5 минут после их появления.

  1. Главная ссылка к новости (https://jordan-wright.github.i...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.11, Аноним (-), 12:51, 31/12/2014 [ответить] [показать ветку] [···]     [к модератору]
  • +5 +/
    Как то раз, я оставил на скамейке в метро кошелек с деньгами Вернулся через 5 м... весь текст скрыт [показать]
     
     
  • 2.16, Sova (??), 14:20, 31/12/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    Не виноват. Но предупреждают, что скамейка привлекает множество "умных" людей.
     
  • 2.25, jh (?), 20:35, 31/12/2014 [^] [ответить]    [к модератору]  
  • +/
    не корректное сравнение. ближе - вы достали карточку на 5 минут, ее сфотографировали и заказали на ebay кучу товара.
     
     
  • 3.30, Аноним (-), 10:18, 01/01/2015 [^] [ответить]     [к модератору]  
  • +/
    Ты еще скажи что печатаешь пинкод не прикрывая клавиатуру рукой и не проверяя чт... весь текст скрыт [показать]
     
  • 1.15, Нанобот (ok), 14:18, 31/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    кстати, чуваку простили эти $2375
     
     
  • 2.18, Alexander (ok), 16:15, 31/12/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    а прочитать первоисточник?
    "Lucky for me, I explained my situation to Amazon customer support – and they knew I wasn’t bitcoin mining all night. Amazon was kind enough to drop the charges this time…"
     
     
  • 3.19, Нанобот (ok), 16:53, 31/12/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    ну так я об этом и писал
     
     
  • 4.20, Alexander (ok), 17:35, 31/12/2014 [^] [ответить]    [к модератору]  
  • +/
    > ну так я об этом и писал

    упс. увидел суслика в смысле знак вопроса :) сорри

     
  • 2.22, Аноним (-), 18:31, 31/12/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > кстати, чуваку простили эти $2375

    Облака вообще интересны возможностью попасть на много денег. Видал как-то залет на почти 5К зелени в Azure. И нет, микрософт жадный, не простил.

     
  • 1.17, Аноним (-), 14:56, 31/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Надуманная проблема. Если данные утекли в сеть хоть и на 10 секунд, то по хорошему надо все пароли сменить и ключи перегенерить. Или мы так сильно доверяем администрации гита?
     
     
  • 2.27, all_glory_to_the_hypnotoad (ok), 23:46, 31/12/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    Этот чел относится к категории людей которые считают что упавший бутерброд в грязь не более чем на 3 секунды можно поднять и съесть.
     
  • 1.23, Аноним (-), 18:49, 31/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Более того, гитхабовский гайд по удалению приватной инфы из репы так и говорит - Меняйте пароли/ключи! А потом вычищайте реп.
    Чувак понадеелся на авось.
     
  • 1.26, pavlinux (ok), 22:48, 31/12/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Посаны, по ГОСТу, DoDy, ФЕНШУЙю - комп, подключенный к сети, уже считается недоверенным узлом/устройством.  
     
     
  • 2.28, Аноним (-), 07:23, 01/01/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    ЧСХ, на это есть определенные причины. Вполне валидные.
     
  • 1.29, edwin3d (ok), 09:57, 01/01/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Скупой платит дважды, убеждаемся в очередной раз.
    Если мальчик говнокодер не в курсе, что все не приватные репозитарии открыты для публичного доступа .... это все равно, что я положу кошелек с баблом на никому не известной лавке в парке, а на входе в парк будет выведена информация где и что оставлено.
    Есть желание что-то скрыть - возьми приватный репозитарий.
    Хочешь много - бери сервант, разворачивай GitLab и ...
    Новость для говнокодерья конечно полезная, но по сути ...  
     
     
  • 2.31, Аноним (-), 10:22, 01/01/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Есть желание что-то скрыть - возьми приватный репозитарий.

    ...а потом случайно узнай что по факту - у кого сервера, тот и прав, а "приватный" реп - не такой уж и приватный, например :)

     
     
  • 3.32, arisu (ok), 11:27, 01/01/2015 [^] [ответить]    [к модератору]  
  • +/
    >> Есть желание что-то скрыть - возьми приватный репозитарий.
    > ...а потом случайно узнай что по факту - у кого сервера, тот
    > и прав, а "приватный" реп - не такой уж и приватный,
    > например :)

    угу. я так думаю, куча народа уже крутит в руках исходники четвёртого анрыла. сколько там открытый клон провисел?

     
  • 3.33, edwin3d (ok), 12:48, 01/01/2015 [^] [ответить]    [к модератору]  
  • +/
    >> Есть желание что-то скрыть - возьми приватный репозитарий.
    > ...а потом случайно узнай что по факту - у кого сервера, тот
    > и правменторовский

    Гражданин хороший, мне лично кажется, Вы как-то невнимательно читали новость.
    В статье описан конкретный case, когда тело спутало публичный и приватный репозитарии.
    При это наивно полагая, что раз о репозитарии "никто не знает", то и бояться нечего.
    Мне совершенно не понятен Ваш менторский пассаж про очевидный факт, что мол владельцы серверов владеют и информацией. Это факт, который мы вообще не обсуждаем в силу его очевидности.
    Мы говорим про иное - про тот факт, что пожалев 7$ (мин. тариф. план) и не понимая сути работы GitHub, он чуть не потерял более 2К $, причем деньги вернул сам Amazon.

    Если у Вас есть информация, что доступ к приватным репам возможен с помощью API без авторизации - давайте обсуждать.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor