OpenForum RSS: Утечка базы данных Uber вызвана случайной публикацией ключей... https://www.opennet.me/openforum/vsluhforumID3/101645.html Популярный сервис заказа такси Uber (https://ru.wikipedia.org/wiki/Uber) инициировал (http://arstechnica.com/security/2015/03/in-major-goof-uber-stored-sensitive-database-key-on-public-github-page/) судебное разбирательство, связанное с утечкой (http://blog.uber.com/2-27-15) базы данных, содержащей сведения о персональных данных и номерах водительских удостоверений около 50 тысяч водителей. Примечательно, что в рамках судебного разбирательства, в котором фигурирует неизвестный злоумышленник, Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям. <br><br><br><br>Судя по фигурирующей в рамках дела информации, утечка базы данных вызвана не компрометацией инфраструктуры Uber, а использованием штатных ключей аутентификации, которые по недосмотру были опубликованы каким-то сотрудником или подрядчиком в публичном репозитории GitHub. Неавторизированный доступ к серверам Uber был произведён ещё 13 мая 2014 года и привёл к выгрузке данных о приблизительно 50 Утечка базы данных Uber вызвана случайной публикацией ключей... (anonymous) https://www.opennet.me/openforum/vsluhforumID3/101645.html#66 Wed, 11 Mar 2015 12:35:31 GMT &gt; Uber потребовал у GitHub предоставить сведения об IP-адресах, с которых был зафиксирован доступ к определённым репозиториям.<br><br>Какой-то очень обходной путь.<br>А у себя они не могут посмотреть с каких IP к ним подключались и сливали данные?<br> Утечка базы данных Uber вызвана случайной публикацией... (arisu) https://www.opennet.me/openforum/vsluhforumID3/101645.html#65 Tue, 10 Mar 2015 12:22:49 GMT &gt; На опеннете эта фраза звучит как-то странно. Как бы хорошо, что код <br>&gt; открыто публикуется, вопрос - как риски безопасности снизить<br><br>например, не давать девелоперам credentials для доступа к боевым базам и серверам. потому что зачем? для этого должен быть deploy manager. у которого, в свою очередь, нет права на коммит в девелоперский репозиторий.<br><br>понятно, это не защита от злоумышленников, это защита от случайной утечки логинов&#8208;паролей.<br> Утечка базы данных Uber вызвана случайной публикацией... (arisu) https://www.opennet.me/openforum/vsluhforumID3/101645.html#64 Tue, 10 Mar 2015 12:19:29 GMT &gt;&gt;никто не делает review коммитов.<br>&gt;&gt;Кто помешает, в таком случае, увольняющемуся сотруднику закомиттить видео с записью сексуального акта своего начальника с бобром?<br>&gt; Какой отдел у Вас в Компании занят _review_ youtub-ика?<br><br>вообще&#8208;то, в нормальной компании есть отдел внутренней безопасности. и существует он именно затем, чтобы не надо было делать &#171;review youtub-ика&#187;.<br> Утечка базы данных Uber вызвана случайной публикацией... (arisu) https://www.opennet.me/openforum/vsluhforumID3/101645.html#63 Tue, 10 Mar 2015 12:17:35 GMT &gt;&gt; Давно пора понять: опасен не нож в руках маньяка, а маньяк, взявший в руки нож.<br>&gt;&gt; Я предлагаю не открывать больше ни строчки кода.<br>&gt; Кто-кто, говоришь, "маньяк"-то?? Ты, что ли?<br><br>нет, он Всемирно Известный Эксперт. к его ценным предложениям прислушиваются ведущие IT-корпорации мира.<br> Утечка базы данных Uber вызвана случайной публикацией... (arisu) https://www.opennet.me/openforum/vsluhforumID3/101645.html#62 Tue, 10 Mar 2015 12:15:33 GMT &gt; - забыли закрыть доступ к svn репозиториям на сайтах yandex opera mail.ru <br>&gt; rambler.<br><br>забыли нанять людей, у которых в голове мозг, а не кю. каждому идиоту известно, что служебным каталогам системы контроля версий не место на продакшн&#8208;сервере. но проприерасты умудряются находить таких идиотов, которым неизвестно. это называется &#171;профессионализм&#187;.<br> Утечка базы данных Uber вызвана случайной публикацией ключей... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/101645.html#61 Thu, 05 Mar 2015 20:06:24 GMT На моей прошлой работе так и было, VPN нет, SSH тоже, все рабочие станции с Windows, почта только через Outlook, никаких IMAP и POP3. И никакого RDP как и внешних IP, работа на удаленных рабочих станциях через Citrix Receiver, с отвратительный проприетарным клиентом под Linux.<br> Утечка базы данных Uber вызвана случайной публикацией ключей... (Куяврег) https://www.opennet.me/openforum/vsluhforumID3/101645.html#60 Wed, 04 Mar 2015 23:18:58 GMT Цена ошибки такова, что выгоднее нихрена не делать.<br> Утечка базы данных Uber вызвана случайной публикацией ключей... (count0krsk) https://www.opennet.me/openforum/vsluhforumID3/101645.html#58 Wed, 04 Mar 2015 02:44:21 GMT &gt; - За выходные запросто можно зарефакторить тута. Дурацкая сикурность, почему я не <br>&gt; могу получить доступ к репе из дома?<br><br>Там видать мужики про ssh и vpn не слышали )) А одмин rdp не даёт всем подряд к сервакам снаружи без привязки к ип. Это же так неудобно, с телефона друга на рыбалке коммит не отправить ))<br><br> Утечка базы данных Uber вызвана случайной публикацией ключей... (count0krsk) https://www.opennet.me/openforum/vsluhforumID3/101645.html#57 Wed, 04 Mar 2015 02:40:52 GMT &gt; Но по мне - лучше иметь свой, изолированный GitLab для таких вещей.<br><br>Карабас-Барабас хотел быстро, качественно, и чтобы ему доплатили )) <br>В итоге плётку отжали, и в гримёрке нагадили )<br><br>