Данные 8 000 000 GitHub-аккаунтов утекли в Сеть

Исследователь Трой Хант (Troy Hunt) обнаружил дамп базы данных сервиса GeekedIn, датированный августом этого года и содержащий сведения, в том числе, о GitHub-аккаунтах участников.

Сразу же заметим, что с самим GitHub всё в порядке и ваши профили там в безопасности, данные собирались сторонним сайтом и стали доступны благодаря его уязвимости.

Ресурс GeekedIn предназначен для поиска и найма специалистов в IT-области, в настоящий момент недоступен. Попавшие в руки Троя данные содержат, например, имена, e-mail адреса, местоположение, а также навыки и опыт по конкретным технологиям, вероятно, помогавшие при поиске подходящих кандидатов для найма.

{
    "_id": "5cb692d1-8fd5-44d7-8639-e680fb2b30f41454836589580",
    "_class": "com.geekedin.domain.entities.mongo.EDeveloper",
    "scores": [],
    "libraryScores": [],
    "compactLibraries": [],
    "name": "Troy Hunt",
    "email": "troyhunt@hotmail.com",
    "location": "Sydney",
    "country": "AU",
    "city": "0fab4eb2-c5d5-459d-a7c5-c50b845c12da1448621413411",
    "score": 0,
    "scanCompleted": false,
    "socialNetworks": [
        {
            "_id": "https://github.com/troyhunt",
            "socialNetwork": "other",
            "url": "https://github.com/troyhunt"
        },
        {
            "_id": "troyhunt",
            "socialNetwork": "github",
            "url": "https://github.com/troyhunt"
        },
        {
            "_id": "http://troyhunt.com",
            "socialNetwork": "other",
            "url": "http://troyhunt.com"
        }
    ],
    "locationPoint": {
        "x": 151.20732,
        "y": -33.86785
    },
    "yearsOfExperience": 0,
    "otherLocations": [],
    "extraEmails": [],
    "locateTryFailed": false,
    "locateTried": true,
    "beingLocated": false,
    "remoteLocateTried": true,
    "blogFindTried": false,
    "contactIsPossible": true,
    "freelancer": false,
    "compactLibrariesComputed": false,
    "compactLibrariesBeingComputed": false,
    "followersFound": false,
    "emailAddresses": [
        {
            "email": "troyhunt@hotmail.com",
            "type": "primary"
        }
    ]
}
{
    "technology": "06405e50-a3b3-471d-a50d-17fc2cb4a9181448621393946",
    "library": "56623985e4b0cab0586c4d09",
    "score": 0,
    "lastCompute": {
        "sec": 1449279293,
        "usec": 262000
    },
    "endorsements": 0,
    "version": "0.3-SNAPSHOT"
},
{
    "technology": "06405e50-a3b3-471d-a50d-17fc2cb4a9181448621393946",
    "library": "56623e9ae4b0cab0586cb344",
    "score": 0,
    "lastCompute": {
        "sec": 1449279293,
        "usec": 262000
    },
    "endorsements": 0,
    "version": "0.1"
}

Это лишь небольшой кусок утекших данных профиля. На самом деле информации в сотни раз больше.

Архив весом 594 МБ был получен на одной из площадок торговли данными и являлся резервной копией базы MongoDB от 15 августа 2016 года. Подробности его получения не сообщаются.

Трой использовал сервис оповещения об утечках данных haveibeenpwned.com для организации проверки наличия информации о себе (чужие профили посмотреть не получится). Нужно ввести e-mail, подтвердить его по присланной ссылке, а затем получить часть базы, относящейся к вашему аккаунту.

Трой сообщает, что он обнаружил почти 8,2 миллиона уникальных email-адресов. 7,1 миллиона из них заканчивались на “.xyzp.wzf”, так как GitHub не раскрывает реальные email-адреса пользователей.

Он решил обратиться в GitHub напрямую, так как опубликованные данные принадлежали им, хотя и утекли из другого сервиса. GitHub пообещали разобраться в ситуации. После обращения в Github, Трой связался напрямую с GeekedIn. Это оказалось непросто, так как их Twitter-аккаунт мертв, а форма для связи на сайте не реагировала. В конце концов, он получил от них ответ, в котором они признавали инцидент и взяли на себя обязательство защитить данные пользователей.

Источник: Troy Hunt blog