Написать пост

Данные 8 000 000 GitHub-аккаунтов утекли в Сеть

Новости Отредактировано

11К открытий11К показов

Исследователь Трой Хант (Troy Hunt) обнаружил дамп базы данных сервиса GeekedIn, датированный августом этого года и содержащий сведения, в том числе, о GitHub-аккаунтах участников.

Сразу же заметим, что с самим GitHub всё в порядке и ваши профили там в безопасности, данные собирались сторонним сайтом и стали доступны благодаря его уязвимости.

Ресурс GeekedIn предназначен для поиска и найма специалистов в IT-области, в настоящий момент недоступен. Попавшие в руки Троя данные содержат, например, имена, e-mail адреса, местоположение, а также навыки и опыт по конкретным технологиям, вероятно, помогавшие при поиске подходящих кандидатов для найма.

			{
    "_id": "5cb692d1-8fd5-44d7-8639-e680fb2b30f41454836589580",
    "_class": "com.geekedin.domain.entities.mongo.EDeveloper",
    "scores": [],
    "libraryScores": [],
    "compactLibraries": [],
    "name": "Troy Hunt",
    "email": "troyhunt@hotmail.com",
    "location": "Sydney",
    "country": "AU",
    "city": "0fab4eb2-c5d5-459d-a7c5-c50b845c12da1448621413411",
    "score": 0,
    "scanCompleted": false,
    "socialNetworks": [
        {
            "_id": "https://github.com/troyhunt",
            "socialNetwork": "other",
            "url": "https://github.com/troyhunt"
        },
        {
            "_id": "troyhunt",
            "socialNetwork": "github",
            "url": "https://github.com/troyhunt"
        },
        {
            "_id": "http://troyhunt.com",
            "socialNetwork": "other",
            "url": "http://troyhunt.com"
        }
    ],
    "locationPoint": {
        "x": 151.20732,
        "y": -33.86785
    },
    "yearsOfExperience": 0,
    "otherLocations": [],
    "extraEmails": [],
    "locateTryFailed": false,
    "locateTried": true,
    "beingLocated": false,
    "remoteLocateTried": true,
    "blogFindTried": false,
    "contactIsPossible": true,
    "freelancer": false,
    "compactLibrariesComputed": false,
    "compactLibrariesBeingComputed": false,
    "followersFound": false,
    "emailAddresses": [
        {
            "email": "troyhunt@hotmail.com",
            "type": "primary"
        }
    ]
}
		
			{
    "technology": "06405e50-a3b3-471d-a50d-17fc2cb4a9181448621393946",
    "library": "56623985e4b0cab0586c4d09",
    "score": 0,
    "lastCompute": {
        "sec": 1449279293,
        "usec": 262000
    },
    "endorsements": 0,
    "version": "0.3-SNAPSHOT"
},
{
    "technology": "06405e50-a3b3-471d-a50d-17fc2cb4a9181448621393946",
    "library": "56623e9ae4b0cab0586cb344",
    "score": 0,
    "lastCompute": {
        "sec": 1449279293,
        "usec": 262000
    },
    "endorsements": 0,
    "version": "0.1"
}

Это лишь небольшой кусок утекших данных профиля. На самом деле информации в сотни раз больше.

Архив весом 594 МБ был получен на одной из площадок торговли данными и являлся резервной копией базы MongoDB от 15 августа 2016 года. Подробности его получения не сообщаются.

Трой использовал сервис оповещения об утечках данных haveibeenpwned.com для организации проверки наличия информации о себе (чужие профили посмотреть не получится). Нужно ввести e-mail, подтвердить его по присланной ссылке, а затем получить часть базы, относящейся к вашему аккаунту.

Трой сообщает, что он обнаружил почти 8,2 миллиона уникальных email-адресов. 7,1 миллиона из них заканчивались на “.xyzp.wzf”, так как GitHub не раскрывает реальные email-адреса пользователей.

Он решил обратиться в GitHub напрямую, так как опубликованные данные принадлежали им, хотя и утекли из другого сервиса. GitHub пообещали разобраться в ситуации. После обращения в Github, Трой связался напрямую с GeekedIn. Это оказалось непросто, так как их Twitter-аккаунт мертв, а форма для связи на сайте не реагировала. В конце концов, он получил от них ответ, в котором они признавали инцидент и взяли на себя обязательство защитить данные пользователей.

Следите за новыми постами
Следите за новыми постами по любимым темам
11К открытий11К показов
Также рекомендуем
Интеграция CI/CD процессов с использованием GitHub Actions
Интеграция CI/CD процессов с использованием GitHub Actions
Интеграция CI/CD процессов. Показываем, как работать с GitHub Actions. Рассматриваем возможные варианты и пошаговую инструкцию ✔ Tproger
OpenAI в центре внимания: уязвимости и хакерская атака
OpenAI в центре внимания: уязвимости и хакерская атака
Прошедшая неделя стала непростой для создателей ChatGPT, так как они дважды оказывались в центре внимания из-за проблем с безопасностью
DOOM портировали на квантовый компьютер. Проверить можно на обычном ПК
DOOM портировали на квантовый компьютер. Проверить можно на обычном ПК
DOOM портировали на квантовые компьютеры, получив Quandoom. Эта версия использует 70 000 кубитов и 80 миллионов квантовых вентилей, однако пока такие квантовые компьютеры не готовы, игру можно симулировать на обычном ПК
Все версии облачного хранилища Proton Drive стали open source
Все версии облачного хранилища Proton Drive стали open source
Компания Proton открыла исходный код всех версий своего облачного хранилища Proton Drive, включая приложения для Windows, macOS, iOS и Android. Теперь пользователи и эксперты могут самостоятельно проверить безопасность приложений