How to become an author
Search
Write a publication
Pull to refresh

Небезопасная разработка в Github

Level of difficultyEasy
Reading time2 min
Views5.6K
Information Security*Website development*Open data*GitHub*History of IT
Review

Статья является продолжением статьи: История утечки персональных данных через Github.

Сегодняшняя подборка:

  1. Персданные, пароли, рабочие секреты, все в куче

  2. Пасхалка с персональными данными в рабочем проекте

  3. Креды для доступа в даркнет

Пример 1: хранение всех секретов в Github

Один из разработчиков не только опубликовал свои персональные данные:

Утечка персданных
Утечка персданных

Так же опубликовал логины и пароли от административных сервисов всех разрабатываемых сайтов. Пример парочки из всех:

Секреты
Секреты
Админка сайта
Админка сайта

Рекомендация разработчику

Хранить секреты надежно (KeePass, Vault), встроить проверки секретов в файлах, например, начав с чего-то простого: Snyk (в Github подключается в пару кликов) либо Gitleaks.

Рекомендация клиенту

Забирать у подрядчиков все секреты и менять их, настроить двухфакторную аутентификацию и закрыть доступ к управляющим интерфейсам напрямую из интернета. Уязвимости в плагинах WordPress не самое страшное.

Пример 2: пасхалка

Знаете, что такое пасхалки? Сможете на скриншотах ниже найти пасхалку?

Пасхалка здесь?
Пасхалка здесь?
Пасхалка здесь?
Пасхалка здесь?

Разработчик среди фотографий пиццы разместил и свою фотографию.

Предполагаю, что как и в предыдущей статье, у разработчика на одном компьютере как рабочие так и личные файлы. Разработчик запутался в файлах или Ctrl+C и Ctrl+V?

Рекомендация разработчику

Выполнять рецензию изменений вторым разработчиком. Не верьте возгласам вида "я разрабатываю 17 лет, рецензировать мой код не требуется".

Рекомендация клиенту

Изучать файлы, передаваемые разработчиком в качестве представления реализации.

Пример 3: запрещёнка Роскомнадзором

Разработчик опубликовал свои персональные данные:

Пример персональных данных
Пример персональных данных

Но это не самое интересное почему репозиторий данного разработчика попал в подборку.

Думаете потому, что разработчик тоже является студентом SkillFactory как разработчик из предыдущей статьи?

Один из проектов
Один из проектов

Всегда очень интересно, что может находиться на запрещенных сайтах и что покупают разработчики на таких сайтах, но к сожалению сайты заблокированы на территории России. Привет, @Роскомнадзор!

Закрыты, но не для всех. Разработчик опубликовал аутентификационные данные для доступа в свои аккаунты на запрещенных сайтах:

Утечка
Утечка

Рекомендация разработчику

Не посещайте сайты, которые не рекомендуют посещать компетентные органы, делиться аутентификационными данными можно, все равно сайты недоступны.

PS - облачное хранилище ключей

Бывает так, что иногда просто негде разместить хранилище ключей, размещаешь их в Github:

Может быть по этому правки в 63-ФЗ требуют иметь миллиарды у УЦ?

Only registered users can participate in poll. Log in, please.
Допускали подобные ошибки?
4.88% Да4
68.29% Нет56
26.83% НЕ уверен22
82 users voted. 8 users abstained.
Tags:
Hubs:
Total votes 2: ↑2 and ↓0+2
Comments7
12
Karma
0.6
Rating
@Protos

Cybersecurity evangelist

Send message

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr