История про одного нерадивого участника воркшопа от GeekBrains.
Предыстория
Как обычно я пытался найти в Github информацию об интересной мне компании.
В этот раз меня дорога завела совсем в другую сторону.
Я обнаружил персональную прямую ссылку на документ (персональные данные), которым нельзя по идее с кем-либо делиться. Документ располагается на сайте интересуемой меня компании:
Я подумал, что это очередной новый SMS-бомбер, но все оказалось иначе.
Открыв файл сразу понял, что это логин и пароль от сайта выделенного синим цветом. Этот сайт не связан с компанией интересующей меня:
Исследование
Открыв историю изменения стало понятно следующее. Как оказалось, некий пользователь последним коммитом добавил 754 файла с персональными данными и иной конфиденциальной информацией:
Пример данных среди файлов:
Как так получилось?
Итак, история уже никак не связана с компанией, что меня интересует. Как так получилось? Я тоже задался этим вопросом. Я открыл его репозиторий Test и сразу стало понятно по комментариям почему так получилось:
Изучая остальные репозитории мы подтверждаем связь с GeekBrains:
Студент научился форкать репозиторий преподавателя и создавать репозитории, а так же загружать в них файлы, не разбираясь, что конкретно загружает.
Изучаем программу данного воркшопа:
Программа курса
Соответствие групп и тем на практикум.
Что такое система контроля версий
Для чего нужна система контроля версий
Установка git на ваш ПК (в зависимости от системы)
Установка VSCode на ваш ПК
Что такое репозиторий и инструкция по созданию локальных репозиториев.
Базовая работа с локальным репозиторием
Что такое ветки и для чего они нужны при работе с системой контроля версий.
Базовая работа с ветками в git.
Что такое удаленный репозиторий и для чего он нужен
Базовая работа с удаленными репозиториями GitHub
Как строится и для чего нужна совместная работа в системах контроля версий
Инструкция по созданию pull request
Книги и полезные ссылки по изучению git.
Альтернативные системы контроля версий.
Не хватает раздела про аудит репозитория и правилам удаления репозитория?
Все файлики о которых шла речь ранее в репозитории с рабочего стола разложены по папочкам:
Так же изучая историю действий пользователя, я наконец понял как все произошло.
Некая Анастасия, обучаясь в GeekBrains, выполняла задания за общим компьютером, которым пользуются другие члены семьи, в том числе по рабочим задачам, связанным с обработкой персональных данных водителей. В итоге в результате обучения рабочая папка, расположенная на рабочем столе ученика, была ошибочно загружена в Github вместе с иными файлами в репозиторий Test.
Выводы
Пользователь, имеющий доступ к персональным данным других физических лиц, предположительно законным образом не имеющий к ним доступ, пытается войти в ИТ;
GeekBrains пытались его обучить;
Из этого ничего не вышло;
Ученик даже не понял, что сделал;
Преподаватель слабо проконтролировал то, что делал ученик;
Пользователь удалил репозиторий;
Во время обучения подробно изучайте всё, что выделаете по два раза, если что-то непонятно, не стесняйтесь спрашивать у лектора и знакомых;
Лекторы недостаточно качественно изучают то, что делают их студенты.
P.S.
Если нет желания удалять репозиторий, то удалять конфиденциальные данные необходимо согласно инструкции: Removing sensitive data from a repository - GitHub Docs
Даже я сегодня в одном из своих репозиториев обнаружил Google API key который я разгласил в 2019 году:
Будьте осторожны.
Комментарии (18)
HardWrMan
07.04.2022 08:22+1Пользователь всегда был, есть и будет самой главной (и, увы, не всегда устранимой) уязвимостью любого компьютера.
anaken
07.04.2022 10:11+4Я бы порекомендовал переименовать статью в "История утечки персональных данных через Github". Это сильно разные вещи.
Neusser
07.04.2022 10:32+3Действительно - желтушный заголовок. "Утечка в гитхаб" означает, что утекли данные пользователей гитхаб. А то, что кто-то случайно/преднамеренно/по глупости выложил данные в публичный репозиторий - не такая уж и редкость.
Protos Автор
07.04.2022 16:33Много вы видели паспортов, водительских удостоверений, всяких актов, договоров, платежек в Github? Понятное дело секрет в коде улетел, тут не спорю.
dmitryvolochaev
07.04.2022 12:45Говорят, 99% всех утечек случаются по ошибке, а не из-за злого умысла. Вот и пример
AnastasiaS566
08.04.2022 21:19+1Интересно , почему тут удаляют комментарии ????, я писала что это мой репозиторий, да ошиблась , все ошибаются , я только вхожу в мир айти, и GeekBrains не пытались меня обучить , а по сей день я все ещё студент в GeekBrains, а такие типа спецы сидят и высмеивают новичков, были бы вы действительно айтишниками с большой буквы и просто хорошими людьми, связались бы с новичком и просто указали на грубую ошибку, а не верстать от нечего делать свои статейки, посмотрите его пытались обучить , а он не понял, разве это культурно и профессионально ?
Aleksandr-JS-Developer
09.04.2022 16:43Высмеивания тут нет. С одной стороны необходимость чуток "повозить" тему, чтобы запоминалась лучше. Хотя мораль и причина стала ясна сразу после первой-же картинки.
И, с другой стороны, статья слишком короткая бы вышла. "Случайно нашел в GitHub репо в которое ошибочно слита папка с чувствительными данными" звучит здорово, но на целую статью - малова-то.
Thary
09.04.2022 14:52Это немного не по теме, но помню, как кто-то получил доступ к репозиторию Линуса Торвальдса (известный финский программист, создателя ядра Linux) и в одном из репозиториев написал I`m Satosi Catosi (Я Сатоси Накамото). Сатоси Накамото - создатель биткоина, его лично до сих пор пытаются раскрыть. Правда, позже Линус все опроверг
Aleksandr-JS-Developer
09.04.2022 16:44Этот случай доказывает что до сих пор есть люди, которые, хакают для вставки пасхалок...
YaRobot
Подобное попадается постоянно, то тут, то там.
К примеру недавно зашёл на pastebin, залить json с тестовыми данными и показать человечку.
По умолчанию приватно делаю.
Но справа имеется блок, где выкладывают публично и ты можешь посмотреть.
Иногда протыкиваю, глянуть что там. И вот тыкаю, а там API ресурс, логопасс, урл и т.п.
Смотрю ресурс, биржа крипты. Захожу, на счету BTC в долларах $9k
Открыл раздел техпода, написал, мол этот аккаунт засвечен, закройте доступ.
Ronkosa
Не знаю, как было в вашем случае, но раньше в ВК (когда вк запустил поиск по файлам) был подобный спам с якобы слитыми случайно авторизационными данными, если зайти в аккаунт, то там лежат деньги, злоумышленник пытается деньги вывести, а ему ответ "для вывода не хватает вот прям совсем чуть-чуть" в вашем случае я бы предположил, что минимальная сумма вывода $10к
Злоумышленник докидывает 1к, чтоб вывести гораздо большую сумму и... их нет
cry_san
Шикарно!
Protos Автор
А ответ то кто злоумышленнику дает, сами VK? Это типо honeypot такой?
makapohmgn
Любой пользователь, загрузивший файл. На сайтах со скриншотами тоже полно таких удочек со скринами логинов и паролей кабинет с кучей бабла)
Protos Автор
А, ну то есть типа ссылки условно не на официальный сайт, а на фишинговый в этом же файле прописаны?
makapohmgn
Ну тут даже не совсем фишинг, этих криптообменников же кругом полно, кто ж их все знает? А тут на тебе ссылка на биржу, логин с паролем)