Новый поиск на GitHub привёл к выявлению забытых в репозиториях конфиденциальных данных

На днях сервис GitHub ввёл в строй новую систему поиска по репозиториям, основанную на открытом движке ElasticSearch и позволяющую использовать расширенные средства фильтрации контента (например, учитывать расширения файлов) и учитывающую активность репозиториев. Находчивые пользователи сразу нашли способ использования поиска для выуживания из репозиториев приватных файлов.

Как правило такие фалы были добавлены по ошибке и потом сразу удалены, но без физической чистки репозитория. Поэтому, с учетом версионного характера сохранения всех изменений, данные фактически остались доступны в репозитории. Например, с использованием запросов вида "BEGIN RSA PRIVATE KEY" с дополнительными фильтрами были выявлены по ошибке добавленные приватные SSH-ключи, в том числе таким способом были найдены параметры входа по SSH для одного очень крупного китайского сайта. В настоящее время поисковый сервис отключен, судя по всему из-за технических проблем с кластером.

©  OpenNet