万达、步步高等知名企业中枪:代码托管平台GitHub泄露企业机密数据

2015-03-31 887035人围观 ,发现 12 个不明物体 其他头条

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

在公共场所小声说话是为了避免私密的谈话被他人听见,但是在互联网上的“公共场所”——程序员最爱的代码托管平台GitHub,技术小哥们是不是也该注意下,别啥都上传了? 

漏洞盒子调查报告:GitHub泄露企业机密信息

GitHub是全球最大的社交编程及代码托管网站。在GitHub,用户可以十分轻易地管理、存储、和搜索程序代码,其因此受到了广大程序员们的热爱。而根据漏洞盒子平台收集到的情报,近期有大量的攻击事件由GitHub泄露敏感信息引起,特整理如下案例,希望相关企业与个人引起重视。

1)国际房地产服务商竞优集团内部绝密资料泄露,可导致黑客入侵内网漫游(vulbox-2015-06465)

用户向GitHub公开上传了包含大量机密资料的文件,这些文件在网络上可随意查看

这个安全问题可直接导致关联企业敏感数据泄露,万达集团、中天集团等知名地产商中枪

还能愉快的玩耍了吗?

2)步步高商城泄露集团各分店账号密码(vulbox-2015-06580)

步步高集团始创于1995年。步步高商城某些开发人员意识不足,肆意将机密信息上传代码托管平台GitHub,导致企业员工邮箱,联系电话信息泄露,集团各分店账号密码信息泄露。

3)某大型知名保险公司泄露数据库账号密码,测试环境账号密码(vulbox-2015-06498)

4)Uber司机数据库泄露

上个月,全球最大的打车APP Uber宣布司机数据库在2014年5月份遭到攻击,导致50000名司机信息(包括司机姓名和驾驶证号)泄露。

经过调查,Uber发现本是机密的司机数据库访问账号、密码竟然公然出现在GitHub公共区域中!黑客发现并利用这些密钥窃取了Uber内部数据库。

花边:官员将私密调情内容发在微博上

在网络上注重隐私保护,任重而道远。下面说的案例与上文的泄露事件有些相似,大家随意感受下……

2011年溧阳市卫生局局长成了网络上“最热局长”——由于误将微博当作私密聊天的即时通讯工具,在微博上大肆调情,遭网友截图并发送到国内知名论坛上。

这位局长在微博中,堂而皇之地提到了两人的暧昧关系:“宝贝,我下午有个会议,结束后到皇廷开个房间你过来好吗?”在其它的微博记录中,更为露骨的调情频频出现,让人瞠目结舌。

有记者给溧阳卫生局局长拨通电话,该局长面对记者的采访慌张答道:

“你看到我们发微博的啊?呵呵,你怎么看到的啊?这个都能看得到啊?!这不可能吧?我们两个发微博你都能看得到啊?不可能吧?”……

[作者/漏洞盒子,本文属FreeBuf黑客与极客(FreeBuf.COM)专栏文章,未经许可禁止转载]

相关推荐

这些评论亮了

  • Flyfish (2级) . 回复
    你看到我们发微博的啊?呵呵,你怎么看到的啊?这个都能看得到啊?!这不可能吧?我们两个发微博你都能看得到啊?不可能吧?
    )92( 亮了
  • abcstx (1级) 回复
    原来如此,原来如此~~
    怪不得XX要干掉GitHub呢~原来是这么回事,是不是还有某些极其敏感的东西“不小心”被放在上面了呢~~
    )29( 亮了
  • John 回复
    开发人员安全意识不足怪 GitHub 喽?
    )22( 亮了
  • weird0 (2级) FB公开课讲师 回复
    坐一楼看公布自己的漏洞
    )9( 亮了
  • 步步高 多年内外被人翻个底朝天
    )6( 亮了
发表评论

已有 12 条评论

取消
Loading...

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php