Статья является продолжением статьи: История утечки персональных данных через Github.
Сегодняшняя подборка:
Персданные, пароли, рабочие секреты, все в куче
Пасхалка с персональными данными в рабочем проекте
Креды для доступа в даркнет
Пример 1: хранение всех секретов в Github
Один из разработчиков не только опубликовал свои персональные данные:
Так же опубликовал логины и пароли от административных сервисов всех разрабатываемых сайтов. Пример парочки из всех:
Рекомендация разработчику
Хранить секреты надежно (KeePass, Vault), встроить проверки секретов в файлах, например, начав с чего-то простого: Snyk (в Github подключается в пару кликов) либо Gitleaks.
Рекомендация клиенту
Забирать у подрядчиков все секреты и менять их, настроить двухфакторную аутентификацию и закрыть доступ к управляющим интерфейсам напрямую из интернета. Уязвимости в плагинах WordPress не самое страшное.
Пример 2: пасхалка
Знаете, что такое пасхалки? Сможете на скриншотах ниже найти пасхалку?
Разработчик среди фотографий пиццы разместил и свою фотографию.
Предполагаю, что как и в предыдущей статье, у разработчика на одном компьютере как рабочие так и личные файлы. Разработчик запутался в файлах или Ctrl+C и Ctrl+V?
Рекомендация разработчику
Выполнять рецензию изменений вторым разработчиком. Не верьте возгласам вида "я разрабатываю 17 лет, рецензировать мой код не требуется".
Рекомендация клиенту
Изучать файлы, передаваемые разработчиком в качестве представления реализации.
Пример 3: запрещёнка Роскомнадзором
Разработчик опубликовал свои персональные данные:
Но это не самое интересное почему репозиторий данного разработчика попал в подборку.
Думаете потому, что разработчик тоже является студентом SkillFactory как разработчик из предыдущей статьи?
Всегда очень интересно, что может находиться на запрещенных сайтах и что покупают разработчики на таких сайтах, но к сожалению сайты заблокированы на территории России. Привет, @Роскомнадзор!
Закрыты, но не для всех. Разработчик опубликовал аутентификационные данные для доступа в свои аккаунты на запрещенных сайтах:
Рекомендация разработчику
Не посещайте сайты, которые не рекомендуют посещать компетентные органы, делиться аутентификационными данными можно, все равно сайты недоступны.
PS - облачное хранилище ключей
Бывает так, что иногда просто негде разместить хранилище ключей, размещаешь их в Github:
Может быть по этому правки в 63-ФЗ требуют иметь миллиарды у УЦ?
Комментарии (7)
Kuch
09.04.2022 09:22+1Я ведь правильно понимаю, что статья относится к публичным репозиториям, а не к приватным, которые слили? Просто если это приватный репозиторий, то кажется, что авторы и так считали, что это никто не увидит.
Protos Автор
09.04.2022 10:48Открытые да, вы сами можете поиском найти подобное через advanced search
ZekaVasch
10.04.2022 00:40Во времена популярности локальных домовых сетей многие ставили себе на комп DC++ клиента и расшаривали весь диск С .
Особенно круто было если дома компьютер был один, а пользовались им все. И мама бухгалтер, которая скопировала все документы с работы, и сын школьник который и поставил дс чтобы качнуть свежих фильмов.
saipr
Да, Статья 16. Аккредитация удостоверяющего центра этого ФЗ в последней редакции привела к закрытию основной массы аккредитованных УЦ, которые создавались малым и средним бизнесом.