Na popularnym serwisie hostingowym, który wykorzystuje system kontroli wersji Git pojawił się błąd w wyszukiwarce. Wpisując w nią PRIVATE KEY, po chwili ukazują się nam wszystkie klucze prywatne użytkowników. Na razie nie wiadomo co jest jego przyczyną.
Aktualizacja:
Po dogłębnej analizie z czytelnikami portalu doszliśmy do wniosku, że nie jest to błąd portalu ale jego użytkowników, którzy popełnili tzw. fail w obsłudze GitHuba.
Aktualizacja 25.01.2013:
Okazuje się także, że GitHub uruchomił nową wyszukiwarkę: elasticsearch, która okazała się na tyle dokładna, że ujawniała różne niekoniecznie chciane pliki. Serwis szybko ją wyłączył. Osoby, które wrzuciły jakiekolwiek wrażliwe dane, powinny je usunąć, korzystając z tego poradnika.
Już to naprawili
Nadal jest: https://github.com/search?p=&q=PRIVATE+KEY&am…
Działa też ftp pass :) https://github.com/search?q=ftp+pass&type=Cod…
No to grubo:)
Przecież to wyświetla zawartość pliku projektów zawierających frazę "PRIVATE KEY" i nie ma nic wspólnego z kluczami użytkowników ;)
Czyli są to klucze prywatne danego projektu?
Stawiał bym na to że ktoś niechcąco albo nie umie wgrywać kluczy na github-a :P
No ale to nie wyciek, najwyżej mogłyby klucze publiczne wyciec (znów ;), ale to niewiele znaczy ;)
Dokładnie. Tylko klucz publiczny użytkownika jest przechowywany w githubie. A i tak ma się to nijak do zwracanych wyników z wyszukiwarki ;)
No ok, na początku wyglądało na wyciek. To ktoś ma pomysł, co to w końcu jest?
zapytanie ukazujące fail sporej liczby użytkowników githuba
Może to prawidłowe słowa na opisanie danej sytuacji.
Wyświetla masę rekordów, ale nie we wszystkich klucz jest podany na tacy.
Edit: niebezpiecznik nazwał to "wykradaniem", komentatorzy "świadomym upublicznieniem TESTOWYCH kluczy".
Niebezpiecznik poleciał troszkę Onetowo ;-)
https://github.com/search?q=path%3A.ssh%2Fid_rsa+…
Hahaha :D
Już nie działa. Ciekawe.
Proszę opowiedzcie w tekście na czym ten błąd polega.
Pozdro
sirmacik
Można było pobrać prywatne klucze RSA do serwerów.