The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

03.03.2015 10:42  Утечка базы данных Uber вызвана случайной публикацией ключей аутентификации на GitHub

Популярный сервис заказа такси Uber инициировал судебное разбирательство, связанное с утечкой базы данных, содержащей сведения о персональных данных и номерах водительских удостоверений около 50 тысяч водителей. Примечательно, что в рамках судебного разбирательства, в котором фигурирует неизвестный злоумышленник, Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям.

Судя по фигурирующей в рамках дела информации, утечка базы данных вызвана не компрометацией инфраструктуры Uber, а использованием штатных ключей аутентификации, которые по недосмотру были опубликованы каким-то сотрудником или подрядчиком в публичном репозитории GitHub. Неавторизированный доступ к серверам Uber был произведён ещё 13 мая 2014 года и привёл к выгрузке данных о приблизительно 50 тысячах водителей.

Инциденты, связанные со случайной публикацией на GitHub параметров аутентификации, происходят достаточно часто и активно отслеживаются потенциальными злоумышленниками. Наличие сервисов, подобных GHTorrent, которые почти в реальном режиме времени отслеживают и зеркалируют все изменения на GitHub, делают безвозвратным попадание закрытой информации в публичные репозитории. Даже в случае оперативного удаления данных, опубликованных по ошибке, эти данные остаются доступными через независимые сторонние архивы.

Например, несколько месяцев назад один из разработчиков случайно сохранил в никому неизвестном тестовом репозитории приложение, забыв удалить параметры входа в Amazon AWS, после чего в течение 5 минут воспользовался инструментом GitHub для полной очистки изменений из репозитория. Не почувствовав подвоха, разработчик не посчитал нужным сменить параметры входа. Через считанные часы злоумышленники задействовали его аккаунт в Amazon AWS для майнинга bitcoin. Похожим образом были потеряны параметры аутентификации одного из аккаунтов Chromium.org, а также SSH-ключи доступа к серверу одного из крупных китайских Web-сервисов.

  1. Главная ссылка к новости (http://arstechnica.com/security/2015/03/...)
  2. OpenNews: Невозможность удаления данных, по ошибке опубликованных на GitHub
Тип: Проблемы безопасности
Ключевые слова: github, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, bav, 11:48, 03/03/2015 [ответить] [смотреть все]
  • +20 +/
    То есть рубанок виноват в тупости и злобности буратины? Это прекрасно.
     
     
  • 2.2, клоун, 12:09, 03/03/2015 [^] [ответить] [смотреть все] [показать ветку]
  • –3 +/
    Цена ошибки такова, что выгоднее не пользоваться GitHub, чем пользоваться с риск... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, torvn77, 12:15, 03/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Зачем отказываться от Гитхаба если можно оперативно поменять ключ А если нельзя... весь текст скрыт [показать]
     
     
  • 4.4, клоун, 12:20, 03/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Затем, что прочитав статью ты узнаешь, как сотрудник по ошибке опубликовал данны... весь текст скрыт [показать]
     
     
  • 5.8, Аноним, 13:05, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Не вижу никаких дополнительных рисков относительно тех что они уже несут, имея ... весь текст скрыт [показать]
     
     
  • 6.62, arisu, 15:15, 10/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > - забыли закрыть доступ к svn репозиториям на сайтах yandex opera mail.ru
    > rambler.

    забыли нанять людей, у которых в голове мозг, а не кю. каждому идиоту известно, что служебным каталогам системы контроля версий не место на продакшн‐сервере. но проприерасты умудряются находить таких идиотов, которым неизвестно. это называется «профессионализм».

     
  • 5.9, Andrey Mitrofanov, 13:06, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Нет, ты 1 По ошибке сотрудник не сменил явки после публикации 2 Не было _в... весь текст скрыт [показать]
     
     
  • 6.12, Andrey Mitrofanov, 13:11, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Даже, компрометация ключей ... весь текст скрыт [показать]
     
     
  • 7.15, fl, 13:26, 03/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Кражи не было, просто ключи попали кому-то не тому А что вещей недосчитались, т... весь текст скрыт [показать]
     
     
  • 8.52, count0krsk, 03:48, 04/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Если свои ключи оставить на столике в кафе, то глупо иск вчинять ему Гитха... весь текст скрыт [показать]
     
  • 5.22, XoRe, 14:32, 03/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    500 рублей в месяц за 5 приватных репозиториев https github com account plans... весь текст скрыт [показать]
     
     
  • 6.25, клоун, 15:35, 03/03/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Каждый мнит себя стратегом видя бой со стороны древне-римская пословица Есл... весь текст скрыт [показать]
     
     
  • 7.30, Аноним, 16:15, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Ща тебя стаканчиком накроют Но так-то ты прав ... весь текст скрыт [показать]
     
  • 7.39, Аноним, 16:56, 03/03/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    Есть более фундаментальный вариант можно не писать код и пойти работать дворник... весь текст скрыт [показать]
     
     
  • 8.44, клоун, 17:12, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Онанизма бояться - не др ить Первый раз - случайность, второй - совпадение... весь текст скрыт [показать]
     
     
  • 9.46, ZiNk, 17:33, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Выше уже приводили примеры с незакрытыми SVN репами, которые должны были быть в... весь текст скрыт [показать]
     
  • 9.47, Аноним, 17:35, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Вот я и говорю слой гипса, бинт, еще слой гипса, еще бинт, еще слой гипса, ... весь текст скрыт [показать]
     
  • 9.50, vlikhachev, 21:36, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Еще один вариант, первейший - НЕ БРАТЬ НА РАБОТУ ДЕБИЛОВ, путающих конфиденциаль... весь текст скрыт [показать]
     
     
  • 10.53, count0krsk, 03:56, 04/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Это писатель на bash im И судя по-всему их не мало В отличие от сапёра, кото... весь текст скрыт [показать]
     
  • 4.13, анон, 13:19, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Может быть поздно, как в данном случае ... весь текст скрыт [показать]
     
  • 3.11, Аноним, 13:10, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Доступ к внутренней базе Uber возможен с любого устройства подключенного к интер... весь текст скрыт [показать]
     
  • 3.18, Аноним, 13:55, 03/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Понимаешь, у сетей универсальное свойство такое если там что-то опубликовали, н... весь текст скрыт [показать]
     
     
  • 4.26, клоун, 15:39, 03/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Давно пора понять опасен не нож в руках маньяка, а маньяк, взявший в руки нож ... весь текст скрыт [показать]
     
     
  • 5.28, Andrey Mitrofanov, 15:51, 03/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Кто-кто, говоришь, маньяк -то Ты, что ли ... весь текст скрыт [показать]
     
     
  • 6.63, arisu, 15:17, 10/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    >> Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож.
    >> Я предлагаю не открывать больше ни строчки кода.
    > Кто-кто, говоришь, "маньяк"-то?? Ты, что ли?

    нет, он Всемирно Известный Эксперт. к его ценным предложениям прислушиваются ведущие IT-корпорации мира.

     
  • 5.37, Аноним, 16:45, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Это типа такое упражнение на логику, нужно найти контр-аргумент на этот бред ... весь текст скрыт [показать]
     
  • 5.40, Аноним, 16:59, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Поэтому надо бить по рукам тем кто не умеет пользоваться инструментами или польз... весь текст скрыт [показать]
     
  • 5.41, Аноним, 16:59, 03/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Да что там, если бы компания не писала код и не генерила ключи, и занималась иск... весь текст скрыт [показать]
     
  • 3.60, Куяврег, 02:18, 05/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Цена ошибки такова, что выгоднее нихрена не делать ... весь текст скрыт [показать]
     
  • 2.17, бедный буратино, 13:43, 03/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    стереотипы, стереотипы ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 13:56, 03/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Кто о чем, а буратино про рубанок ... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 14:53, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    не смущает, что про рубанок не он написал ... весь текст скрыт [показать]
     
     
  • 5.33, Аноним, 16:16, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Он намекнул, поскольку сам дрова ... весь текст скрыт [показать]
     
     
  • 6.49, Буратино, 19:00, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Какие дрова ... весь текст скрыт [показать]
     
  • 5.42, Аноним, 17:01, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Зато про стереотипы он очень шаблонно пишет, в каждом втором случае наверное Та... весь текст скрыт [показать]
     
     
  • 6.54, count0krsk, 04:21, 04/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Нечего на Буратину пенять, коли сам Аноним никто - ... весь текст скрыт [показать]
     
  • 2.21, Аноним, 14:04, 03/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Uber FAIL ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 12:37, 03/03/2015 [ответить] [смотреть все]  
  • +4 +/
    Ответ лежит на поверхности - жлобы не хотели влпатить копейки за приватные репоз... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 12:57, 03/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ответ лежит на поверхности - никто не делает review коммитов Кто помешает, в та... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Andrey Mitrofanov, 13:09, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Какой отдел у Вас в Компании занят _review_ youtub-ика А то, кто ж помешает-то... весь текст скрыт [показать]
     
     
  • 4.64, arisu, 15:19, 10/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    >>никто не делает review коммитов.
    >>Кто помешает,  в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?
    > Какой отдел у Вас в Компании занят _review_ youtub-ика?

    вообще‐то, в нормальной компании есть отдел внутренней безопасности. и существует он именно затем, чтобы не надо было делать «review youtub-ика».

     
  • 3.14, Анончик, 13:26, 03/03/2015 [^] [ответить] [смотреть все]  
  • +/
    pre-commit review Нафиг-нафиг ... весь текст скрыт [показать]
     
     
  • 4.55, count0krsk, 04:23, 04/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Пре-комит, пост-комит, и во время написания чтобы обе руки на столе были, а то о... весь текст скрыт [показать]
     
  • 2.7, Аноним, 13:02, 03/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вот, тоже так подумал ... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, Crazy Alex, 13:33, 03/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На опеннете эта фраза звучит как-то странно Как бы хорошо, что код открыто публ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.65, arisu, 15:22, 10/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > На опеннете эта фраза звучит как-то странно. Как бы хорошо, что код
    > открыто публикуется, вопрос - как риски безопасности снизить

    например, не давать девелоперам credentials для доступа к боевым базам и серверам. потому что зачем? для этого должен быть deploy manager. у которого, в свою очередь, нет права на коммит в девелоперский репозиторий.

    понятно, это не защита от злоумышленников, это защита от случайной утечки логинов‐паролей.

     
  • 2.51, all_glory_to_the_hypnotoad, 02:29, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Клинический неуч всегда делает неверные выводы из своих и чужих ошибок Ответ, к... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, edwin3d, 16:29, 03/03/2015 [ответить] [смотреть все]  
  • +/

    Разработчик конечно тот еще орел, но мне кажется первопричина такого явления немного в другом.
    Какого ... использовать для  таких Public репозитарии.
    Они же автоматом синкаются (привет Uber с их требованиями по IP), их ковыряют.

    Хорошо, допустим они хотели показать всем, вот наш код, нашего сервиса, мол смотрите.
    Но для такого можно использовать варианты максимальной изоляции всяких крит. данных от основной репы.
    Но по мне - лучше иметь свой, изолированный GitLab для таких вещей.

     
     
  • 2.57, count0krsk, 05:40, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Карабас-Барабас хотел быстро, качественно, и чтобы ему доплатили В итоге плё... весь текст скрыт [показать] [показать ветку]
     
  • 1.38, Аноним, 16:46, 03/03/2015 [ответить] [смотреть все]  
  • +/
    - За выходные запросто можно зарефакторить тута Дурацкая сикурность, почему я н... весь текст скрыт [показать]
     
     
  • 2.58, count0krsk, 05:44, 04/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Там видать мужики про ssh и vpn не слышали А одмин rdp не даёт всем подряд к ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Аноним, 23:06, 05/03/2015 [^] [ответить] [смотреть все]  
  • +/
    На моей прошлой работе так и было, VPN нет, SSH тоже, все рабочие станции с Wind... весь текст скрыт [показать]
     
  • 1.66, anonymous, 15:35, 11/03/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям.

    Какой-то очень обходной путь.
    А у себя они не могут посмотреть с каких IP к ним подключались и сливали данные?

     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter  
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 25.03 Релиз GNOME 3.16. Обзор новшеств (124 +50)

    Советы
    - 18.03 Подготовка качественных GIF-файлов из видео при помощи FFmpeg
    - 13.03 Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза
    - 12.03 Подавление шумов средствами PulseAudio
    - 23.02 Создание интерактивных графических моделей в CAS MAXIMA при использовании ОС GNU Linux
    - 05.02 Мониторинг температуры в Zabbix с использованием Digitemp

    Обсуждаемые новости
    - 23:06 Выпуск открытого медиацентра Kodi 14.2 (бывший XBMC)  (16)
    - 22:42 Космическое агентство NASA открыло код платформы для создани (20)
    - 22:35 Релиз Samba 4.2.0. Прекращение поддержки Samba 3 (80)
    - 22:31 На GitHub обрушилась необычная DDoS-атака, проведённая через (110)
    - 20:24 Второй кандидат в релизы инсталлятора Debian 8.0 (52)
    - 20:10 Новая версия легковесного Linux дистрибутива antiX 14.4 (33)
    - 20:00 Доступна финальная бета-версия Ubuntu 15.04, ознаменовавшая  (157)
    - 18:26 Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4 (13)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2015 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList
    п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧