Статья является продолжением статьи: История утечки персональных данных через Github.
Сегодняшняя подборка:
Персданные, пароли, рабочие секреты, все в куче
Пасхалка с персональными данными в рабочем проекте
Креды для доступа в даркнет
Пример 1: хранение всех секретов в Github
Один из разработчиков не только опубликовал свои персональные данные:
![Утечка персданных Утечка персданных](https://habrastorage.org/getpro/habr/upload_files/a76/18a/886/a7618a886dcdeaf2fa90fd211f6bd172.png)
Так же опубликовал логины и пароли от административных сервисов всех разрабатываемых сайтов. Пример парочки из всех:
![Секреты Секреты](https://habrastorage.org/getpro/habr/upload_files/770/18b/13d/77018b13dc09e618ea98e028c7a2f626.png)
![Админка сайта Админка сайта](https://habrastorage.org/getpro/habr/upload_files/9bc/d4f/ebe/9bcd4febe9d9b15973dff63ad27700e1.png)
Рекомендация разработчику
Хранить секреты надежно (KeePass, Vault), встроить проверки секретов в файлах, например, начав с чего-то простого: Snyk (в Github подключается в пару кликов) либо Gitleaks.
Рекомендация клиенту
Забирать у подрядчиков все секреты и менять их, настроить двухфакторную аутентификацию и закрыть доступ к управляющим интерфейсам напрямую из интернета. Уязвимости в плагинах WordPress не самое страшное.
Пример 2: пасхалка
Знаете, что такое пасхалки? Сможете на скриншотах ниже найти пасхалку?
![Пасхалка здесь? Пасхалка здесь?](https://habrastorage.org/getpro/habr/upload_files/e77/082/756/e77082756182ec4dd4a37072496339a2.png)
![Пасхалка здесь? Пасхалка здесь?](https://habrastorage.org/getpro/habr/upload_files/991/f45/790/991f45790a35f67cf96d844498b88c9c.png)
Разработчик среди фотографий пиццы разместил и свою фотографию.
Предполагаю, что как и в предыдущей статье, у разработчика на одном компьютере как рабочие так и личные файлы. Разработчик запутался в файлах или Ctrl+C и Ctrl+V?
Рекомендация разработчику
Выполнять рецензию изменений вторым разработчиком. Не верьте возгласам вида "я разрабатываю 17 лет, рецензировать мой код не требуется".
Рекомендация клиенту
Изучать файлы, передаваемые разработчиком в качестве представления реализации.
Пример 3: запрещёнка Роскомнадзором
Разработчик опубликовал свои персональные данные:
![Пример персональных данных Пример персональных данных](https://habrastorage.org/getpro/habr/upload_files/141/405/2ae/1414052ae924e9d894c071eb709b4b9c.png)
Но это не самое интересное почему репозиторий данного разработчика попал в подборку.
Думаете потому, что разработчик тоже является студентом SkillFactory как разработчик из предыдущей статьи?
![Один из проектов Один из проектов](https://habrastorage.org/getpro/habr/upload_files/c64/efb/be8/c64efbbe8398f2266e5c38523833babd.png)
Всегда очень интересно, что может находиться на запрещенных сайтах и что покупают разработчики на таких сайтах, но к сожалению сайты заблокированы на территории России. Привет, @Роскомнадзор!
Закрыты, но не для всех. Разработчик опубликовал аутентификационные данные для доступа в свои аккаунты на запрещенных сайтах:
![Утечка Утечка](https://habrastorage.org/getpro/habr/upload_files/d41/4d4/8fd/d414d48fdffdef67813b7e1165c91f0c.png)
Рекомендация разработчику
Не посещайте сайты, которые не рекомендуют посещать компетентные органы, делиться аутентификационными данными можно, все равно сайты недоступны.
PS - облачное хранилище ключей
Бывает так, что иногда просто негде разместить хранилище ключей, размещаешь их в Github:
![](https://habrastorage.org/getpro/habr/upload_files/ac2/807/866/ac28078665411a14843cf87076191397.png)
Может быть по этому правки в 63-ФЗ требуют иметь миллиарды у УЦ?
Комментарии (7)
Kuch
09.04.2022 09:22+1Я ведь правильно понимаю, что статья относится к публичным репозиториям, а не к приватным, которые слили? Просто если это приватный репозиторий, то кажется, что авторы и так считали, что это никто не увидит.
Protos Автор
09.04.2022 10:48Открытые да, вы сами можете поиском найти подобное через advanced search
ZekaVasch
10.04.2022 00:40Во времена популярности локальных домовых сетей многие ставили себе на комп DC++ клиента и расшаривали весь диск С .
Особенно круто было если дома компьютер был один, а пользовались им все. И мама бухгалтер, которая скопировала все документы с работы, и сын школьник который и поставил дс чтобы качнуть свежих фильмов.
saipr
Да, Статья 16. Аккредитация удостоверяющего центра этого ФЗ в последней редакции привела к закрытию основной массы аккредитованных УЦ, которые создавались малым и средним бизнесом.