The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Утечка базы данных Uber вызвана случайной публикацией ключей аутентификации на GitHub

03.03.2015 10:42

Популярный сервис заказа такси Uber инициировал судебное разбирательство, связанное с утечкой базы данных, содержащей сведения о персональных данных и номерах водительских удостоверений около 50 тысяч водителей. Примечательно, что в рамках судебного разбирательства, в котором фигурирует неизвестный злоумышленник, Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям.

Судя по фигурирующей в рамках дела информации, утечка базы данных вызвана не компрометацией инфраструктуры Uber, а использованием штатных ключей аутентификации, которые по недосмотру были опубликованы каким-то сотрудником или подрядчиком в публичном репозитории GitHub. Неавторизированный доступ к серверам Uber был произведён ещё 13 мая 2014 года и привёл к выгрузке данных о приблизительно 50 тысячах водителей.

Инциденты, связанные со случайной публикацией на GitHub параметров аутентификации, происходят достаточно часто и активно отслеживаются потенциальными злоумышленниками. Наличие сервисов, подобных GHTorrent, которые почти в реальном режиме времени отслеживают и зеркалируют все изменения на GitHub, делают безвозвратным попадание закрытой информации в публичные репозитории. Даже в случае оперативного удаления данных, опубликованных по ошибке, эти данные остаются доступными через независимые сторонние архивы.

Например, несколько месяцев назад один из разработчиков случайно сохранил в никому неизвестном тестовом репозитории приложение, забыв удалить параметры входа в Amazon AWS, после чего в течение 5 минут воспользовался инструментом GitHub для полной очистки изменений из репозитория. Не почувствовав подвоха, разработчик не посчитал нужным сменить параметры входа. Через считанные часы злоумышленники задействовали его аккаунт в Amazon AWS для майнинга bitcoin. Похожим образом были потеряны параметры аутентификации одного из аккаунтов Chromium.org, а также SSH-ключи доступа к серверу одного из крупных китайских Web-сервисов.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Невозможность удаления данных, по ошибке опубликованных на GitHub
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: github, uber
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (53) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, bav (ok), 11:48, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    То есть рубанок виноват в тупости и злобности буратины? Это прекрасно.
     
     
  • 2.2, клоун (?), 12:09, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Цена ошибки такова, что выгоднее не пользоваться GitHub, чем пользоваться с риском огрести.
     
     
  • 3.3, torvn77 (ok), 12:15, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем отказываться от Гитхаба если можно оперативно поменять ключ?
    А если нельзя или сложно,то ИМХО значит с организацией безопасности проблемы.
     
     
  • 4.4, клоун (?), 12:20, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Затем, что прочитав статью ты узнаешь, как сотрудник по ошибке опубликовал данные, которые были использованы для взлома. И узнали об этой ошибке только по факту разбирательства причин взлома.

    Повторяю: цена ошибок слишком высока. С такими рисками ресурс могут использовать только камикадзе.

     
     
  • 5.8, Аноним (-), 13:05, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не вижу никаких дополнительных рисков? относительно тех что они уже несут, имея фирменный сайт.
    Поищите в гугле файлы дампов баз данных, случайно лежащих в общем доступе на сайте.
    Десятки тысяч результатов.
    Или вот:
    >Были получены исходники 3300 глобальных интернет-проектов
    >http://habrahabr.ru/post/70330/

    - забыли закрыть доступ к svn репозиториям на сайтах yandex opera mail.ru rambler.
    Избавься от рисков - выдерни ethernet кабель.

     
     
  • 6.62, arisu (ok), 15:15, 10/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > - забыли закрыть доступ к svn репозиториям на сайтах yandex opera mail.ru
    > rambler.

    забыли нанять людей, у которых в голове мозг, а не кю. каждому идиоту известно, что служебным каталогам системы контроля версий не место на продакшн‐сервере. но проприерасты умудряются находить таких идиотов, которым неизвестно. это называется «профессионализм».

     
  • 5.9, Andrey Mitrofanov (?), 13:06, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Затем, что прочитав статью ты узнаешь,

    Нет, ты.

    > как сотрудник по ошибке опубликовал данные, которые были использованы для взлома.

    1/ "По ошибке" сотрудник не сменил явки после публикации.
    2/ Не было _влома, была утечка данных аут-ции.

    > Повторяю: цена ошибок слишком высока. С такими рисками ресурс могут использовать только
    > камикадзе.

    Ваше мнение очень важно для нас. Лучшие б.-практики, теория циклов, бесценные ошибки. Всегда в нетерпении ждём продолжения[I]![/I]

     
     
  • 6.12, Andrey Mitrofanov (?), 13:11, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > 2/ Не было _влома, была утечка данных аут-ции.

    Даже, компрометация ключей.

     
     
  • 7.15, fl (?), 13:26, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кражи не было, просто ключи попали кому-то не тому. А что вещей недосчитались, так это уже совсем другая история.

    Два не связанных между собой события.

     
     
  • 8.52, count0krsk (ok), 03:48, 04/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Если свои ключи оставить на столике в кафе, то глупо иск вчинять ему Гитха... текст свёрнут, показать
     
  • 5.22, XoRe (ok), 14:32, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Повторяю: цена ошибок слишком высока. С такими рисками ресурс могут использовать только
    > камикадзе.

    500 рублей в месяц за 5 приватных репозиториев.
    https://github.com/account/plans
    Я конечно понимаю, что цена неподъемная даже для Uber с капитализацией $41,0 млрд...

    А вообще, если к их серверам подключились 13 мая 2014 года, а узнали они об этом 17 сентября, им нужно что-то менять в консерватории.

     
     
  • 6.25, клоун (?), 15:35, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Каждый мнит себя стратегом видя бой со стороны." (древне-римская пословица)

    Если крупной ИТ компании нужен закрытый репозиторий - его проще и быстрее создать внутри компании. Если компании нужен открытый репозиторий или компания вляпалась в GPL и теперь не может от него отмыться - она использует чужой открытый репозиторий, т.к. нет смысла создавать его внутри.

    Не открывайте код - не будет утечек.

     
     
  • 7.30, Аноним (-), 16:15, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > "Каждый мнит себя стратегом видя бой со стороны." (древне-римская пословица)
    > Если крупной ИТ компании нужен закрытый репозиторий - его проще и быстрее
    > создать внутри компании. Если компании нужен открытый репозиторий или компания вляпалась
    > в GPL и теперь не может от него отмыться - она
    > использует чужой открытый репозиторий, т.к. нет смысла создавать его внутри.
    > Не открывайте код - не будет утечек.

    Ща тебя стаканчиком накроют. :)

    Но так-то ты прав.


     
  • 7.39, Аноним (-), 16:56, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не открывайте код - не будет утечек.

    Есть более фундаментальный вариант: можно не писать код и пойти работать дворником. Тогда ущерб от утечек будет минимизирован на самом базовом уровне.

     
     
  • 8.44, клоун (?), 17:12, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Онанизма бояться - не др ить Первый раз - случайность, второй - совпадение... текст свёрнут, показать
     
     
  • 9.46, ZiNk (ok), 17:33, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Выше уже приводили примеры с незакрытыми SVN репами, которые должны были быть в... текст свёрнут, показать
     
  • 9.47, Аноним (-), 17:35, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вот я и говорю слой гипса, бинт, еще слой гипса, еще бинт, еще слой гипса, ... текст свёрнут, показать
     
  • 9.50, vlikhachev (ok), 21:36, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Еще один вариант, первейший - НЕ БРАТЬ НА РАБОТУ ДЕБИЛОВ, путающих конфиденциаль... текст свёрнут, показать
     
     
  • 10.53, count0krsk (ok), 03:56, 04/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это писатель на bash im И судя по-всему их не мало В отличие от сапёра, кото... текст свёрнут, показать
     
  • 4.13, анон (?), 13:19, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть поздно, как в данном случае.
     
  • 3.11, Аноним (-), 13:10, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Доступ к внутренней базе Uber возможен с любого устройства подключенного к интернет, ключи аутентификации доступны широкому кругу лиц, в том числе низкоквалифицированным сотрудникам подрядчиков. И причём тут github?
     
  • 3.18, Аноним (-), 13:55, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Цена ошибки такова, что выгоднее не пользоваться GitHub, чем пользоваться с риском огрести.

    Понимаешь, у сетей универсальное свойство такое: если там что-то опубликовали, назад это уже не заберешь. А агрессивные попытки это сделать часто ведут к противоположному эффекту, из-за эффекта Стрейзанд. Если это не нравится - не пользуйся сетями и не публикуй информацию. Сиди в бетонном бункере на мешке с своей "информацией".

     
     
  • 4.26, клоун (?), 15:39, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож. Нож - инструмент, ему всё равно будут им резать хлеб или соседей.

    Открытый код несёт риски. Если бы компания не открыла код - данные не утекли бы в сеть - взлома бы не произошло. Я предлагаю не открывать больше ни строчки кода. Это предотвратит утечки и позволит недопустить взломов в будущем. Open source имеет преимущества, а это один из его неустранимых недостатков.

     
     
  • 5.28, Andrey Mitrofanov (?), 15:51, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож.
    > Я предлагаю не открывать больше ни строчки кода.

    Кто-кто, говоришь, "маньяк"-то?? Ты, что ли?

     
     
  • 6.63, arisu (ok), 15:17, 10/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож.
    >> Я предлагаю не открывать больше ни строчки кода.
    > Кто-кто, говоришь, "маньяк"-то?? Ты, что ли?

    нет, он Всемирно Известный Эксперт. к его ценным предложениям прислушиваются ведущие IT-корпорации мира.

     
  • 5.37, Аноним (-), 16:45, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Открытый код несёт риски. Если бы компания не открыла код - данные не утекли бы в сеть - взлома бы не произошло. Я предлагаю не открывать больше ни строчки кода. Это предотвратит утечки и позволит недопустить взломов в будущем.

    Это типа такое упражнение на логику, нужно найти контр-аргумент на этот бред?

     
  • 5.40, Аноним (-), 16:59, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому надо бить по рукам тем кто не умеет пользоваться инструментами или пользуется не по назначению, а не "ломать хлеб руками, вместо того чтобы пользоваться ножом".
     
  • 5.41, Аноним (-), 16:59, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да что там, если бы компания не писала код и не генерила ключи, и занималась иск... текст свёрнут, показать
     
  • 3.60, Куяврег (?), 02:18, 05/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Цена ошибки такова, что выгоднее нихрена не делать.
     
  • 2.17, бедный буратино (ok), 13:43, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    стереотипы, стереотипы...
     
     
  • 3.19, Аноним (-), 13:56, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > стереотипы, стереотипы...

    Кто о чем, а буратино про рубанок...

     
     
  • 4.23, Аноним (-), 14:53, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    не смущает, что про рубанок не он написал?
     
     
  • 5.33, Аноним (-), 16:16, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > не смущает, что про рубанок не он написал?

    Он намекнул, поскольку сам дрова.

     
     
  • 6.49, Буратино (?), 19:00, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Какие дрова?
     
  • 5.42, Аноним (-), 17:01, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > не смущает, что про рубанок не он написал?

    Зато про стереотипы он очень шаблонно пишет, в каждом втором случае наверное. Так что рубанок, рубанок...

     
     
  • 6.54, count0krsk (ok), 04:21, 04/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато про стереотипы он очень шаблонно пишет, в каждом втором случае наверное.
    > Так что рубанок, рубанок...

    Нечего на Буратину пенять, коли сам Аноним (никто). ;-)

     
  • 2.21, Аноним (-), 14:04, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть рубанок виноват в тупости и злобности буратины? Это прекрасно.

    Uber FAIL.

     

  • 1.5, Аноним (-), 12:37, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ответ лежит на поверхности - жлобы не хотели влпатить копейки за приватные репозитарии.
     
     
  • 2.6, Аноним (-), 12:57, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ответ лежит на поверхности - никто не делает review коммитов. Кто помешает, в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?
     
     
  • 3.10, Andrey Mitrofanov (?), 13:09, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >никто не делает review коммитов.
    >Кто помешает,  в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?

    Какой отдел у Вас в Компании занят _review_ youtub-ика?

    А то, "кто ж помешает-то"tm [I]?![/I]

     
     
  • 4.64, arisu (ok), 15:19, 10/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>никто не делает review коммитов.
    >>Кто помешает,  в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?
    > Какой отдел у Вас в Компании занят _review_ youtub-ика?

    вообще‐то, в нормальной компании есть отдел внутренней безопасности. и существует он именно затем, чтобы не надо было делать «review youtub-ика».

     
  • 3.14, Анончик (?), 13:26, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    pre-commit review?
    Нафиг-нафиг.
     
     
  • 4.55, count0krsk (ok), 04:23, 04/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > pre-commit review?
    > Нафиг-нафиг.

    Пре-комит, пост-комит, и во время написания чтобы обе руки на столе были, а то опять винда получиться )))
    Или РеактОС, если левая под столом будет ))

     
  • 2.7, Аноним (-), 13:02, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    вот, тоже так подумал
     
  • 2.16, Crazy Alex (ok), 13:33, 03/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На опеннете эта фраза звучит как-то странно. Как бы хорошо, что код открыто публикуется, вопрос - как риски безопасности снизить
     
     
  • 3.65, arisu (ok), 15:22, 10/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > На опеннете эта фраза звучит как-то странно. Как бы хорошо, что код
    > открыто публикуется, вопрос - как риски безопасности снизить

    например, не давать девелоперам credentials для доступа к боевым базам и серверам. потому что зачем? для этого должен быть deploy manager. у которого, в свою очередь, нет права на коммит в девелоперский репозиторий.

    понятно, это не защита от злоумышленников, это защита от случайной утечки логинов‐паролей.

     
  • 2.51, all_glory_to_the_hypnotoad (ok), 02:29, 04/03/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ответ лежит на поверхности - жлобы не хотели влпатить копейки за приватные репозитарии.

    Клинический неуч всегда делает неверные выводы из своих и чужих ошибок. Ответ, конечно, лежит на поверхности, но он несколько другой - нельзя авторизационные данные хранить вместе с кодом, мухи должны быть отдельно от всего остального.

     

  • 1.36, edwin3d (ok), 16:29, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    Разработчик конечно тот еще орел, но мне кажется первопричина такого явления немного в другом.
    Какого ... использовать для  таких Public репозитарии.
    Они же автоматом синкаются (привет Uber с их требованиями по IP), их ковыряют.

    Хорошо, допустим они хотели показать всем, вот наш код, нашего сервиса, мол смотрите.
    Но для такого можно использовать варианты максимальной изоляции всяких крит. данных от основной репы.
    Но по мне - лучше иметь свой, изолированный GitLab для таких вещей.

     
     
  • 2.57, count0krsk (ok), 05:40, 04/03/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Но по мне - лучше иметь свой, изолированный GitLab для таких вещей.

    Карабас-Барабас хотел быстро, качественно, и чтобы ему доплатили ))
    В итоге плётку отжали, и в гримёрке нагадили )

     

  • 1.38, Аноним (-), 16:46, 03/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    - За выходные запросто можно зарефакторить тута. Дурацкая сикурность, почему я не могу получить доступ к репе из дома?
    - А ладно, сделаю
    $ git remote add pesonal-repo https://github.org/supermax/corp-app.git
    $ git push personal-repo ticker-10500

    - Запилю и в понедельник меня похвалят %)

     
     
  • 2.58, count0krsk (ok), 05:44, 04/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > - За выходные запросто можно зарефакторить тута. Дурацкая сикурность, почему я не
    > могу получить доступ к репе из дома?

    Там видать мужики про ssh и vpn не слышали )) А одмин rdp не даёт всем подряд к сервакам снаружи без привязки к ип. Это же так неудобно, с телефона друга на рыбалке коммит не отправить ))

     
     
  • 3.61, Аноним (-), 23:06, 05/03/2015 [^] [^^] [^^^] [ответить]  
  • +/
    На моей прошлой работе так и было, VPN нет, SSH тоже, все рабочие станции с Windows, почта только через Outlook, никаких IMAP и POP3. И никакого RDP как и внешних IP, работа на удаленных рабочих станциях через Citrix Receiver, с отвратительный проприетарным клиентом под Linux.
     

  • 1.66, anonymous (??), 15:35, 11/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям.

    Какой-то очень обходной путь.
    А у себя они не могут посмотреть с каких IP к ним подключались и сливали данные?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру