LINUX.ORG.RU

Сторонняя компания предоставляет данные пользователей GitHub.

 , ,


0

0

Сторонняя компания предоставляет данные пользователей GitHub за отдельную плату.

Вот что пишет сайт securitylab.ru: Рекрутинговый сайт GeekedIn получил в свое распоряжение данные 8 млн пользователей GitHub и сохранил ее в незащищенной базе MongoDB. Как сообщает исследователь безопасности Трой Хант (Troy Hunt), резервные копии базы данных были загружены посторонними как минимум один раз и, похоже, продаются в интернете.

Анализ базы данных выявил следующее:

БД содержит 8,2 млн уникальных электронных адресов пользователей GitHub, Bitbucket и, вероятно, других подобных сервисов.

БД также содержит имена пользователей, логины и данные о месте проживания и профессиональных навыках.

Вся утекшая информация уже доступна online на сайте GitHub и других сервисов. GeekedIn просто собрал сведения воедино и создал собственную БД. За отдельную плату GeekedIn предоставляет ее потенциальным работодателям, ищущим сотрудников.

По словам представителей GitHub, сервис позволяет сторонним компаниям получать доступ к его БД, если они намерены использовать данные в тех же целях, с которыми пользователи их предоставили. Однако, по словам Ханта, использование персональной информации для получения коммерческой выгоды недопустимо, поскольку является нарушением конфиденциальности.

Новость взята здесь.

Перемещено beastie из security


Вся утекшая информация уже доступна online на сайте GitHub и других сервисов.

В чем тогда проблема?

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Там данные учёток. С помощью учёток можно залогиниться и скачать код.

kartg ()
Ответ на: комментарий от alozovskoy

Резервные копии базы данных были загружены посторонними как минимум один раз и, похоже, продаются в интернете.

kartg ()
Ответ на: комментарий от kartg

С гитхаба и так можно скачать код, даже логиниться не надо. Если раздаются связки логин + пароль то это не «информация уже доступна online на сайте GitHub».

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Есть приватные же ветки.

И вообще мне кажется не просто так на общественное мнение выставлена данная инфа. В любом случае инфа вся слита как минимум один раз, даже не сторонним сервисом, а кемто, значит может использоваться не по назначению «8,2 млн уникальных электронных адресов» это не малые данные. И не факт что только это силили.

kartg ()
Ответ на: комментарий от kartg

Вот приватные ветки это уже другой разговор. Я бы понял если только с github (например) данные украли, но поскольку указано несколько «платформ» - не верю что утащили именно данные для входа. Если просто попарсили пользовательские странички и собрали инфу, которую сами пользователи выложили в открытый доступ - не вижу ничего криминального.

alozovskoy ★★★★★ ()

так и знал что не надо использовать его.

coyotl ()

Я не понимаю.

1. Разве нельзя засудить этих п*******в из GitHub, чтобы лучше следили за безопасностью?

2. А как насчет засудить нахрен этот GeekedIn, чтоб он закрылся и никогда не вылезал в сеть? То чем они занимаются - это криминал вообще-то.

3. Если GitHub такое говно (как и GitLab), то че делать-то? Есть нормальные аналоги, которые не забивают жирный болт на безопасность?

Офигеть, этим крысам деньги платишь, а потом твой аккаунт сливают на какой-то говносайт. Шлюхи, нет слов.

anonymous ()
Ответ на: комментарий от anonymous

Храни код на серваке под кроватью (сервак предварительно от интернета отключи).

theNamelessOne ★★★★★ ()
Ответ на: комментарий от theNamelessOne

Ты только на глупостях специализируешься, или что-то умное можешь родить?

anonymous ()
Ответ на: комментарий от anonymous

Я вот свой собственный репозиторий разворачиваю с сегоднешнего дня. Нафиг нужен бессмысленный риск. Я лучше в свои собственные сервера вложу и знания, чем платить комуто, а потом такие вещи узнавать и за свою опу переживать.

kartg ()
Ответ на: комментарий от anonymous

Мне кажется сегодня начнут разбирательства по этому поводу, ведь шумиха не слабая разгорелась в сети.

kartg ()
Ответ на: комментарий от kartg

Это хорошая идея, но только если в твоей команде есть специалист по сетевой безопасности. Иначе придется нанимать и держать отдельного спеца, а это не малые деньги, для команды из 4-5 человек это бывает тяжело.

anonymous ()
Ответ на: комментарий от kartg

Ну хорошо если потрясут их хорошенько и прочистят по чем надо.

anonymous ()

БД содержит 8,2 млн уникальных электронных адресов пользователей GitHub, Bitbucket и, вероятно, других подобных сервисов.

Вся утекшая информация уже доступна online на сайте GitHub и других сервисов. GeekedIn просто собрал сведения воедино и создал собственную БД.

Т.е. они собрали открытую информацию (емайлы и ники пользователей гитхаба и битбакета), который и так каждый может получить, систематизировали её и хотят продавать?

Ну и в чем тут криминал?

Где хоть какой-то намек про приватные репозитории? Из-за чего шум?

vvn_black ★★★★★ ()
Ответ на: комментарий от vvn_black

Т.е. они собрали открытую информацию (емайлы и ники пользователей гитхаба и битбакета), который и так каждый может получить, систематизировали её и хотят продавать?

Да, только при этом они положили всё в незащищённую монгу и оно утекло.

Ну и в чем тут криминал?

Криминала нет, нарушение ToS гитхаба есть.

Где хоть какой-то намек про приватные репозитории?

Нету.

Из-за чего шум?

Массовое изнасилование журналистов в основном, но некоторые недовольны тем, что данные о них из открытых источников систематизируют. Храните ваши данные в фб, фб заботится о приватности данных, чтобы никто, кроме них, не мог их использовать ;-).

ChALkeR ★★★★★ ()
Ответ на: комментарий от ChALkeR

Криминала нет, нарушение ToS гитхаба есть.

Ой, всё... ) Гитхаб обидится на GeekedIn.

Да, только при этом они положили всё в незащищённую монгу и оно утекло.

Бизнес не удался.

vvn_black ★★★★★ ()
Последнее исправление: vvn_black (всего исправлений: 1)

имена пользователей, логины и данные о месте проживания и профессиональных навыках.

еще один линкединокапец

unt1tled ★★★★ ()

Сохранили данные с апи, возможно с помощью приложения, которому юзеры сами дали доступ на гитхабе, а местные фанатики как обычно закатили истерику, перекатываясь в своём свинарнике «ненужно» и визжа.

Deleted ()

данные о месте проживания

Это поле «Location» на гитхабе, кстати. Иногда люди туда город пишут, иногда значок самолётика, иногда «Earth», иногда ничего.

Что-то точнее города там найти очень маловероятно.

возможно с помощью приложения, которому юзеры сами дали доступ на гитхабе

Нет, это через публичные данные собрано, без приложения.

ChALkeR ★★★★★ ()
Ответ на: комментарий от alozovskoy

С гитхаба и так можно скачать код, даже логиниться не надо.

А теперь будет возможность не только скачать, но и закачать.

andreyu ★★★★★ ()
Ответ на: комментарий от andreyu

А теперь будет возможность не только скачать, но и закачать.

Ага. Вот тебе мои данные из той базы (полные): https://gist.github.com/ChALkeR/0ef9e72c17c980b5dae1c1bb5a38eea6.

Закачивай. Закачаешь — дай знать.

ChALkeR ★★★★★ ()
Последнее исправление: ChALkeR (всего исправлений: 1)
Ответ на: комментарий от ChALkeR

Закачаешь — дай знать.

Я где-то сказал, что я «cool hacker»?

andreyu ★★★★★ ()
Ответ на: комментарий от kartg

Ой, да как будто емейла в коммитах и так не видно.

ChALkeR ★★★★★ ()
Ответ на: комментарий от ChALkeR

координаты, у некоторых могут точно указывать на дом\работу, так что гитхаб зафейлился

subwoofer ★★★★★ ()
Ответ на: комментарий от ChALkeR

они положили всё в незащищённую монгу

Ради интереса попробовал соседние адреса хостинга. Нашлось три монги, торчащие в инет. Из них на одну точно можно зайти.

i-rinat ★★★★★ ()

Ждём окончательной блокировки гитхаба. Успейте сохранить suicide.txt.

te111011010 ()
Ответ на: комментарий от subwoofer

координаты, у некоторых могут точно указывать на дом\работу, так что гитхаб зафейлился

Ты олешек? Координаты там считаются из того же «Location» и показывают ровнёхонько на центр города, угадай почему. Того города, который пользователь сам указал на своей публичной странице (и то если он не страну и не планету указал). Ты думал, они всем юзерам гитахаба зонд поставили и следят за ними?

ChALkeR ★★★★★ ()
Последнее исправление: ChALkeR (всего исправлений: 1)
Ответ на: комментарий от ChALkeR

но некоторые недовольны тем, что данные о них из открытых источников систематизируют.

А вот это уже какое-то [...]. Понятно, не всем может понравиться результат, но у каждого человека должно быть право осмысливать информацию, которую он наблюдает, в том числе и систематизировать собранное. Попытки возмущаться таким сродни попыткам запрещать думать.

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от ChALkeR

Ты олешек?

Мухаха, этот порвался.

Иди читай про geolocation api в бравзерах.

subwoofer ★★★★★ ()

Что по этому поводу сказали в роскомнадзоре?

utf8nowhere ★★ ()

В России всё круче.

Сбербанк заработает на продаже данных о поведении своих клиентов. Предполагается, что информацию будут покупать коммерческие и государственные структуры. Сбербанк во вторник запустил сайт проекта «Открытые данные», рассказал финансист А.Хлынов. На некоммерческой основе в первом релизе данных Сбербанк раскрывает статистическую информацию о кредитовании, средних зарплатах, пенсиях, депозитах граждан России. Информация собрана на основе данных о более чем 100 млн клиентов Сбербанка. В дальнейшем планируется также публиковать статистику о тратах россиян, а также о деятельности юрлиц. «Мы не даем информацию о конкретных клиентах. Суть в том, что на основе этих данных нам могут заказать, например, где „Магниту“ стоит открывать магазины.

pacify ★★★★★ ()
Ответ на: комментарий от subwoofer

Сам читай.

Geolocation api запрашивает разрешения у браузера. Ты когда-нибудь видел, чтобы гитхаб запрашивал разрешение на твою геопозицию? Вот и я не видел. Ты когда-нибудь видел другой источник геопозиции в открытых данных на гитхабе, кроме поля Location (ну и таймзоны коммитов)? Вот и я не видел.

Попробуй сначала думать головой, потом писать. Ну или разберись, о чём ты говоришь, а то у тебя получился пример «я знаю карате, дзю-до, кунг-фу, и много других страшных слов».

ChALkeR ★★★★★ ()
Последнее исправление: ChALkeR (всего исправлений: 2)
Ответ на: комментарий от ChALkeR

Ты когда-нибудь видел, чтобы гитхаб запрашивал разрешение на твою геопозицию?

у меня он отключен, потому в отличие от тебя я не могу брызгать слюной по этому поводу

другой источник геопозиции в открытых данных на гитхабе, кроме поля Location (ну и таймзоны коммитов)? Вот и я не видел.

Т.е. ты видел сорцы гитхаба и точно знаешь что они не берут координаты, например по ip, не говоря уже про геолокацию? Нет? Тогда что ты тут делаешь?

subwoofer ★★★★★ ()
Ответ на: комментарий от subwoofer

Координаты по ip - это с точностью максимум до города.

drull ★☆☆☆ ()
Ответ на: комментарий от drull

Вот тут не согласен!

По ip пол определить даже можно :)

kartg ()
Ответ на: комментарий от theNamelessOne

лучше его весь держать в памяти, как разведчик. чтобы уж точняк никто не прочухал, что ты там какое-то ноухау разработал.

Iron_Bug ★★★★ ()
Ответ на: комментарий от subwoofer

Т.е. ты видел сорцы гитхаба и точно знаешь что они не берут координаты, например по ip, не говоря уже про геолокацию? Нет? Тогда что ты тут делаешь?

Ну достань мне эти координаты по айпи из гитхаба. Или по чему хочешь, кроме поля Location и таймзоны.

ChALkeR ★★★★★ ()
Ответ на: комментарий от ChALkeR

Ну достань мне эти координаты по айпи из гитхаба.

Может тебе еще хеш твоего пароля достать?

subwoofer ★★★★★ ()
Последнее исправление: subwoofer (всего исправлений: 1)
Ответ на: комментарий от subwoofer

Ну это ж ты думаешь что этот левый сервис каким-то образом получил из гитхаба локации пользователей перед тем, как просрать свою базу. Если ты думаешь, что там и хэши паролей есть — да, и их достань.

ChALkeR ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.