10000名用户误上传AWS关键密码到GitHub公共区域
2014-03-25 21:56:32   来源:NetSecurity   评论:0 点击:

导读:GitHub 拥有数百万名用户,而这当中有许多 AWS(亚马逊企业云服务)的用户,而问题就出在这里。很多 AWS 用户在 GitHub 提交代码的时候,将 AWS 登陆所用的用户名和关键识别密码(Root Access Key,
GitHub 拥有数百万名用户,而这当中有许多 AWS(亚马逊企业云服务)的用户,而问题就出在这里。很多 AWS 用户在 GitHub 提交代码的时候,将 AWS 登陆所用的用户名和关键识别密码(Root Access Key,解释在这里)误上传到了自己在 GitHub 的公共代码存储区域。
而有人发现了这个问题:这些 Key 在 GitHub 用户的代码存储保存之后,将能够被 GitHub 的搜索引擎摘取到,想要搜索到的话“轻而易举”。直到本文成文之时,仍有约 10000 个搜索结果在列,也即意味着还有 10000 名 AWS 使用者不小心将自己项目或企业的关键识别密码以几乎明文的方式放置在网上。
经过网络安全工程师 Ty Miller 测试,搜索到的部分明文存储的密码的确可用:他登陆了某个可怜的公司的 AWS 账号,上传了点东西然后很快又删除了,证明自己“拥有完全通行的权限”。
他表示:
这个问题很严重。如果你的项目团队或公司正在开发一款重要的产品,放置在 AWS 的共享空间上,我获得了操作权限之后,直接给你删掉,你的努力就白瞎了。
目前来自 GitHub 官方的应急处理方案还没有。GitHub 方面一直在更新自己的用户文档,告诫用户“不要上传关键的账号和密码,至少不要再共享和公共的区域。”然而,问题还是出在用户。作为公开的开源代码共享服务提供者,GitHub 方面能做的很有限。

相关热词搜索:区域 密码 关键

上一篇:携程漏洞后续:三大恐慌远超实际危害
下一篇:Basecamp遭DDoS攻击和黑客敲诈

分享到: 收藏