Безопасность ваших паролей зависит от вас

Сегодня на Хабре появилась статья про обновленный поиск. Обновление хорошее, но более интересен один из комментариев в статье, который вскрывает вопиющую небрежность программистов, использующих публичные репозитории Github для своих проектов. Казалось бы, программисты своего рода IT-элита и должны быть достаточно осведомлены о вопросах компьютерной безопасности. Однако ссылка, приведенная в комментарии к статье на Хабре, говорит нам об обратном:

https://github.com/search?q=path:.ssh/id_rsa&type=Code&ref=searchresults

Как видно из результата работы поискового запроса некоторые разработчики не уделяют достаточно внимания вопросу сохранности своих SSH-ключей и в открытом доступе лежит целая куча ключей. Если добавить к этому лежащий (у некоторых) рядом файл known_hosts, то можно только представить размер дыры в безопасности серверов этих горе-программистов.

Проведем небольшое дополнительное исследование. Какие еще пароли могут храниться в репозитории на Github? Правильно — пароли к базе данных в файлах конфигурации веб-приложений. Поищем их:

https://github.com/search?q=path%3Awp-config.php&type=Code&ref=searchresults

https://github.com/search?q=path%3Aconfiguration.php&type=Code&ref=searchresults

https://github.com/search?q=path%3Aconfig.php&type=Code&ref=searchresults

https://github.com/search?q=path%3Adatabase.yml&type=Code&ref=searchresults

https://github.com/search?q=path%3Asettings.py&type=Code&ref=searchresults

Список можно продолжать долго, но выводы можно делать уже на основании этих запросов. Беглый осмотр показал, что, наряду с тестовыми БД на localhost с пользователем root без пароля, достаточно много логинов/паролей к реальным БД.

Вся эта ситуация лишний раз подтверждает, что чаще всего дыры в безопасности появляются по вине человеческого фактора. Помните — безопасность ваших паролей зависит прежде всего от вас самих. Внимательно следите за тем, что выкладываете в публичный доступ. Если даже ваш проект известен только вам и вы думаете, что никто не найдет его никогда — вы ошибаетесь! Гораздо проще предотвратить утечку, чем потом устранять последствия.

P.S. Данный материал написан исключительно в ознакомительных и исследовательских целях. Автор не пользовался ни одним из найденных паролей/ключей. Также автор снимает с себя ответственность за возможные последствия использования информации из статьи третьими лицами.

Tags: , ,

Leave a Reply

You must be logged in to post a comment.