انتشار اطلاعات ۸ میلیون پروفایل گیت‌هاب توسط یک وب‌گاه استخدام

۵یک وب‌گاه تازه تأسیس استخدام به خزش در گیت‌هاب و وب‌گاه‌های مشابه پرداخته و سهواً با یک پیکربندی نامناسب بر روی پایگاه داده‌ی MongoDB این اطلاعات را به‌صورت برخط منتشر کرده است.

کارشناس امنیتی استرالیایی با نام تروی هانت، مالک سرویس «آیا به دستگاه من نفوذ شده است؟۱»، اخیراً یک پرونده‌ی پشتیبان MongoDB با حجم ۶۰ مگابیت را منتشر کرده که متعلق به شرکت استخدام GeekedIn است. بررسی‌های دقیق‌تر نشان داد که این اطلاعات حاوی ۸ میلیون پروفایل گیت‌هاب است. این پرونده حاوی اطلاعاتی همچون نام، آدرس رایانامه، مکان و سایر اطلاعات است.

همچنین ۱ میلیون از این آدرس‌های رایانامه معتبر هستند و بقیه قالبی به شکل username@github.xyzp.wzf دارند که مربوط به حساب‌های گیت‌هاب بوده و رایانامه‌های عمومی نیستند. این پایگاه داده MongoDB حاوی هزاران حساب کاربری است که به نظر می‌رسد متعلق به وب‌گاه BitBucket باشند.

توسعه‌دهندگان GeekedIn در خرداد ماه اعلام کردند که سرویسی را راه‌اندازی کرده‌اند که وب‌گاه‌های میزبانی کد همچون گیت‌هاب و BitBucket را خزش می‌کند و برای پروژه‌های متن‌باز و توسعه‌دهندگان، پروفایل می‌سازد. هدف از این سرویس کمک به مشتریان بود تا بتوانند توسعه‌دهنده‌ای که مطابق با نیازشان است را بهتر و سریع‌تر پیدا کنند. این سرویس همچنین قصد داشت به توسعه‌دهندگان کمک کند تا رزومه‌ی خود را غنی‌تر کنند.
اطلاعاتی که GeekedIn در طول خزش از گیت‌هاب بدست می‌آورد، اطلاعاتی است که به‌طور عمومی منتشر شده و حاوی داده‌های حساسی همچون گذرواژه‌ها نیست.

گیت‌هاب به کاربران اجازه می‌دهد در اطلاعات عمومی این وب‌گاه خزش کرده و داده‌های مورد نظر خود را بدست آورند ولی با استفاده‌ی تجاری از این داده‌ها مخالف است. GeekedIn از کارفرمایان و شرکت‌های مختلف برای دسترسی به این اطلاعات ماهیانه صدها یورو درخواست می‌کند.

پس مسئله‌ی اول استفاده‌ی تجاری از اطلاعات عمومی گیت‌هاب است. مسئله‌ی دوم ذخیره‌سازی داده‌ها بر روی پایگاه داده‌ی MongoDB به حالت محافظت‌نشده است به‌طوری که همگان می‌توانند به این اطلاعات دسترسی داشته باشند. این رخدادها اخیراً بسیار زیاد شده است. سازمان‌ها اطلاعات و رکوردهای میلیون‌ها نفر را با پیکربندی نامناسب پایگاه داده‌ها لو می‌دهند.

بعد از اینکه این ماجرا توسط هانت اعلام شد، توسعه‌دهندگان GeekedIn قول دادند تا هرچه سریع‌تر با اقداماتی امنیت این اطلاعات را فراهم کنند. آن‌ها همچنین وب‌گاه خود را از حالت برخط خارج کردند. کاربرانی که اطلاعات آن‌ها لو رفته می‌توانند به سرویس ارائه‌شده در وب‌گاه هانت مراجعه کرده و ببینند چه اطلاعاتی از آن‌ها افشاء شده است.

۱. Have I Been Pwned

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.