Top menu

Утечки через GitHub

В связи с нашумевшей очень крупной утечкой персональных данных (57 млн. записей) из компании Uber я решил сделать небольшой обзор инцидентов, напрямую связанных с сервисом GitHub.

Для начала небольшая справка из Википедии: GitHub - крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки. Основан на системе контроля версий Git и разработан компанией GitHub, Inc.

Если кратко, разработчики (как компании, так и частные лица) используют GitHub для хранения исходников (и сопутствующих документов) и групповой работы с ними. В GitHub есть публичные (открытые для всех) и частные (закрытые) репозитории.

По сути, GitHub это облачный сервис хранения данных, а значит, с точки зрения рисков утечки информации он мало чем отличается от Amazon S3, Dropbox и т.п.

Uber вызывали?

В свежем случае с Uber использовался частный репозиторий, куда разработчики компании Uber по какой-то причине сохранили ключи доступа к облаку Amazon (AWS), на котором в свою очередь хранились те самые украденные данные.

Такая двухступенчатая схема хищения, в которой самое главное и интересное - это то, как злоумышленники получили доступ к закрытому репозиторию Uber.

Достоверного ответа на этот вопрос пока нет, мы можем только гадать. На текущий момент у меня есть две версии:

  • Был подобран пароль к аккаунту одного из разработчиков Uber. Это означает, во-первых, что пароль был очень слабым (коротким и простым, возможно из словаря), а во-вторых, не использовалась двухфакторная аутентификация (2FA), существующая на GitHub аж с 2013 года.
  • Была использована какая-то уязвимость самого сервиса GitHub, которая позволила получить доступ к частному репозиторию. Напомню, что инцидент с данными Uber произошел в октябре 2016 года и именно в октябре 2016 сама компания GitHub, Inc. сообщила об уязвимости в своем сервисе из-за которой были скомпрометированы более 150 частных репозиториев. Об этом ниже.

Опять Uber вызывали?

Наверное, вы подумаете, что это шутка или моя ошибка – два раза вставил в статью один и тот же абзац. ;) Но увы, нет…

Еще в 2014 году Uber допустил утечку персональных данных (имена и номера водительских удостоверений) 50 тысяч своих водителей.

На этот раз использовался публичный репозиторий, куда разработчики компании Uber по какой-то причине сохранили ключи доступа к облаку Amazon (AWS), на котором в свою очередь хранились те самые утерянные данные.

Заметили разницу по сравнению с 2016 годом? Кроме того, что данных в 2014-м потеряли на три порядка меньше? В 2016 году ключи доступа к AWS уже записывали не в публичный, а в приватный репозиторий! На лицо прогресс в работе службы безопасности Uber. ;)

А что там у GitHub?

  • В марте 2012 года стало известно о серьезной проблеме в механизме загрузки открытых SSH-ключей, приводящей к возможности получить привилегии супер-пользователя для репозиториев, к которым доступа быть не должно вообще.
  • В июне 2016 года GitHub были вынуждены принудительно заставить многих пользователей сменить свои пароли из-за того, что были зафиксированы множественные попытки несанкционированного доступа к репозиториям. Из-за массовой кражи электронной почты и паролей на сторонних ресурсах GitHub подвергся атаке перебором. GitHub, Inc. призвала пользователей усилить пароли и использовать двухфакторную аутентификацию.
  • 20 октября 2016 года компания GitHub, Inc. в своем официальном сообщении рассказала, что из-за ошибки в коде сервиса произошла утечка незначительного (по словам GitHub) кол-ва пользовательских данных из 156 частных репозиториев.

Как-то подозрительно совпадает время предыдущих двух описанных выше инцидентов с утечкой у Uber…

  • В ноябре 2016 в сети был обнаружен архив geekedin.net_mirror_20160815.7z размером 594 Мб с базой данных в формате MongoDB. Внутри базы содержались данные о 8 млн. пользователей GitHub и других подобных сервисов. База была собрана рекрутинговым агентством из открытых источников, паролей к аккаунтам там конечно не было, но зато были адреса эл. почты, псевдонимы пользователей и их реальные имена, данные о работодателях и месте проживания.

Это показывает, что не так уж и сложно было найти информацию об аккаунтах на GitHub и возможно, обогатив базу паролями (либо из словаря, либо украденными с других ресурсов) осуществить массовый взлом аккаунтов. Что собственно и произошло в июне 2016-го (см. выше).

Квадрокоптеры пролетают.

Осенью 2017 года выяснилось, что разработчики производителя квадрокоптеров DJI сохранили в публичном репозитории GitHub закрытый ключ SSL-сертификата компании и AES-ключи для шифрования прошивок. Все это добро хранилось совершенно открыто на протяжении 4-х лет.

Кроме того, там же хранились учетные данные для Amazon Web Services. В самом хранилище AWS были журналы полетов, данные паспортов и водительских удостоверений клиентов DJI.

Та-та-та…

Летом 2017 года в публичном репозитории GitHub обнаружились исходные коды и внутренние документы нескольких крупных финансовых организаций Канады, США и Японии. Оказалось, что это поработали сотрудники индийской аутсорсинговой компании Tata Consultancy Service, чьими заказчиками были пострадавшие финансовые учреждения.

В свободном доступе оказались заметки программистов, исходные коды, отчёты, планы разработки и записи телефонных звонков.

Пойдем в оперу?

В самом начале 2017 года появился и очень быстро исчез публичный репозиторий с исходными кодами движка вебраузера - Opera Presto в последний раз использованного в браузере Opera 12.

Несмотря на то, что Opera давно перешла на другой движок, исходные коды Presto компания не делала публичными и юридически они являются ее коммерческой тайной.

Я устал!

Как видите, случаев утечки чувствительной (иногда даже очень чувствительной) информации «благодаря» GitHub много. На самом деле их конечно гораздо больше. Я просто устал писать. ;)

Поэтому в заключении кратко перечислю, что еще было найдено в живой природе:

  • осень 2017 года – инженер IT-аутсорсера DXC Technologies загрузил ключи доступа к AWS в публичный репозиторий;
  • 2013 год – на GitHub попал пароль для аккаунта на Chromium.org;
  • 2013 год – на GitHub сохранили SSH-ключи крупного веб-сервера в Китае.

Автор: Ашот Оганесян