Чи захищені репозиторії GitHub від злому?
У репозиторіях GitHub містяться деякі дуже важливі секрети для компаній. Вони призначені для приховування та захисту від хакерів та інших злодіїв, які хотіли б викрасти цю інформацію, щоб перепродати її.
Наскільки безпечні ці секрети? Рік тому хакер на ім’я Shiny Hunters заявив, що вкрав 500 ГБ даних з GitHuB Microsoft. Ось історія, яка показує, наскільки важливо для компаній переконатися, що їхній GitHub є недосяжною фортецею.
Проблема, яку потрібно вирішити
Порушення даних вже кілька років є серйозною проблемою для компаній, але про неї не так багато говорять відкрито; майже так, ніби ця тема була табу. Фактично, багато компаній прийняли стратегію схрестити пальці, сподіваючись, що їхні секрети залишаться такими. Дивне ставлення, коли ти знаєш, що сьогодні існують такі інструменти, як GitHub Security Scan, які дозволяють аналізувати загальнодоступні та приватні репозиторії, щоб переконатися, що немає дірок, які можуть призвести до потенційних витоків.
Ці порушення можуть коштувати великих грошей, оскільки потім хакери шантажують компанію, щоб викупити її. Якщо вони це зроблять, вони ніколи не будуть впевнені, що хакери все одно не продадуть інформацію. Це справді те, що вони роблять, виносячи його на чорний ринок. Вони можуть продавати швидко та великій кількості людей, створюючи проблеми, які згодом неможливо вирішити.
Як повідомляється, викрадено 500 ГБ даних із приватних сховищ Microsoft GitHub
У травні 2020 року хакер на ім’я Shiny Hunters заявив, що вкрав 500 ГБ даних у сховищі Microsoft GitHub. Цей доступ до такого обмеженого доступу був одним із найважливіших за всі часи. Його початковою метою було звернутися до чорного ринку, щоб продати цю інформацію. Але після аналізу вкрадених даних він передумав і оприлюднив їх безкоштовно. Достовірність даних була оскаржена недовго. Але врешті-решт більшість погодилися, що надана інформація, швидше за все, надходить із сховища Microsoft GitHub, але не має значення. Більшість із них були китайською мовою, і, здається, вони стосувалися проектів, які компанія ніколи не запускала.
Однак ця історія показує, що навіть таких гігантів, як Microsoft, можна зламати через їхній репозиторій GitHub. Виникає запитання: чому будь-яка компанія, яка має інформацію, яку потрібно захистити, у такому місці не використає сканування GitHub, щоб переконатися, що їхня інформація безпечна? Якщо це ваш випадок, сподіваюся, ця історія змусить вас змінити свою думку, перш ніж ваше сховище GitHub буде зламано.