Github上敏感信息泄露 众多厂商躺枪


Jul 11 2015

Github上敏感信息泄露 众多厂商躺枪

首页 » 渗透测试 » Github上敏感信息泄露 众多厂商躺枪   

0x01 科普:

Git 是一个分布式的版本控制系统,最初由Linus Torvalds编写,用作Linux内核代码的管理。在推出后,Git在其它项目中也取得了很大成功,尤其是在Ruby社区中。目前,包括 Rubinius、Merb和Bitcoin在内的很多知名项目都使用了Git。Git同样可以被诸如Capistrano和Vlad the Deployer这样的部署工具所使用。

作为开源代码库以及版本控制系统,Github目前拥有140多万开发者用户。随着越来越多的应用程序转移到了云上,Github已经成为了管理软件开发以及发现已有代码的首选方法!

Github可以托管各种git库,并提供一个web界面,但与其它像 SourceForge或Google Code这样的服务不同,Github的独特卖点在于从另外一个项目进行分支的简易性。

1.jpg


Github在给开发者带来方便的同时,一个小小的疏忽也带来了一系列安全隐患,比如:敏感信息的泄露!

黑 客利用强大的搜索引擎,很容易抓取到Github代码库里边的敏感数据:邮件配置信息、数据库配置信息、FTP配置信息、SVN配置信息And so on,这些配置信息往往都会涉及到账号密码,一旦开发者出现疏忽没能及时处理掉这些敏感数据,这些账号密码就极有可能会一并上传到Github,从而给相 关业务带来潜在的安全威胁!

有白帽子(getshell1993)在360裤带平台分享了一篇名为:Github上寻找敏感信息技巧分享的文章,小编个人觉得看点还是很足的,有兴趣的同学可以去看看,在这里就不贴原文了。

0x02 google hack语法

邮件信息:

site:Github.com smtp 

site:Github.com smtp @qq.com  

site:Github.com smtp @126.com

site:Github.com smtp @163.com 

site:Github.com smtp @sina.com.cn

site:Github.com smtp password 

site:Github.com String password smtp

……

结合厂商域名,灵活运用
site:Github.com smtp @厂商域名

搜索XX公司内部信息:

site:Github.com corp.xx.com 或者 xx-inc.com

指定邮箱类型:

site:Github.com smtp admin@%.com  (webmaster、root、help、service,And so on..)

site:Github.com smtp admin@%.org

site:Github.com smtp admin@%.cn

site:Github.com smtp @%.edu.cn  教育网站

site:Github.com smtp @%.gov.cn  政府门户


360裤带案例:清华大学网站配置文件泄露,已成功登录某员工邮箱

Github泄露的邮箱账号密码:


2.png


成功登录该员工的邮箱:

3.jpg


数据库信息:

site:Github.com sa password

site:Github.com root password

site:Github.com User ID='sa';Password

……

SVN信息:

site:Github.com svn

site:Github.com svn username

site:Github.com svn password

site:Github.com svn username password

……

site:Github.com ftp

site:Github.com ftp user password

(这些google语法仅供参考,白帽子可自行发挥)

0x03 案例:

我们再回过头看看Github信息泄露中枪的案例:

360裤带:

百度某员工安全意识不足导致泄露业务敏感信息

开发人员安全意识不足造成浙江省舟山海洋生态环境监测站多台服务器沦陷

...


乌云:

4.jpg



小米VPN账号密码泄露证实可登录:从github上拿到了一个小米员工童鞋的邮箱和密码,然后登陆邮箱,继而社工得到了小米VPN账号。

国家气象局项目信息泄露:Github上代码包含服务器信息以及气象局工程师的邮箱和密码, 邮箱中包含嫦娥计划,卫星遥感资料, 解码方式之类的信息...

(嫦娥计划、卫星遥感资料?感觉很高大上!在企业内部工作中,越来越多的沟通工作都依靠邮件系统、及时通讯工具、网络工具来完成。虽然给我们的工作带来了便利,也在一定程度上,加大了对企业中文件等数字信息安全的隐患。)

0x04

信息泄露轻则导致账号失窃,重则公司/企业敏感信息资料外泄。

(内网漫游、多台服务器沦陷的案例也是不少,看官们可以自行到360裤带以及乌云搜索一下!)

企业发生信息泄露事件会导致企业在公众中的威望和信任度下降,会直接使他们改变原有选择倾向,从这里不难推断,信息泄密事件可能会使企业失去一大批已有的或者潜在的客户。
因此也可以说,在数据信息的作用与地位日益显要的今天,数据信息的安全问题是关乎企业声誉、公众信任感、经济利益、生死存亡的问题,企业数据信息的安全程度将会影响企业的外部竞争力。
  一般地,我们在考虑跟某家公司合作时或者打算买某商家的产品时,如果得知这家企业出现过信息泄密事件,大家或多或少会心存疑虑。
大概会思考下,你的企业信息安全机制如此不完善,我的信息会不会也因此而被泄露出去?你的企业信息安全管理现状是否间接反映了整体管理体系的不完善?信息泄密事件是否会直接影响公司将来的发展和业绩?

这些疑虑,从心理学上说叫做光晕效应,它实质上表明了信息泄密事件有损企业千辛万苦建立起来的声誉,摧毁公众或合作主体对企业的的信任感,使企业在商务合作中处于被动的不利地位。

保障数据安全是降低敏感数据向内、外部泄露风险的最有效手段!——>安全是一个过程而不是结果!


0x05题外话

2013年1月15日晚间,全球最大的社交编程及代码托管网站GitHub突然疑似遭遇DDOS攻击,访问大幅放缓,该网站管理员经过日志查询,发现是来自12306的抢票插件用户洪水般的访问导致GitHub出现问题。

2013年1月20日左右,GitHub在中国大陆被官方的防火长城封锁(封锁手段为域名污染和关键词过滤),李开复等一些微博大V呼吁解禁GitHub,微博转发近10万条。2013年1月23日github网站恢复正常访问。



如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: Github漏洞 Github安全 Github风险

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «【国内数千机构邮箱的沦陷】eYou邮箱系统系列产品若干个漏洞 | 威胁情报的运用,从这三招入手»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~