The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атакующие получили доступ к сайту проекта Sourcegraph"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от opennews (??), 01-Сен-23, 12:26 
Проект Sourcegraph, развивающий движок для навигации по исходным текстам, рефакторинга и поиска в коде, раскрыл сведения об инциденте, в результате которого злоумышленники получили доступ к сайту Sourcegraph.com с правами администратора. Атакующим удалось загрузить данные о пользователях Sourcegraph, включающие email-адреса зарегистрированных пользователей, имена и email коммерческих клиентов и лицензионные ключи некоторых коммерческих пользователей...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59696

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атакующие получили доступ к сайту проекта Sourcegraph"  –4 +/
Сообщение от Аноним (1), 01-Сен-23, 12:26 
когда уже chatgpt научится такие токены публично оставленные искать
Ответить | Правка | Наверх | Cообщить модератору

4. "Атакующие получили доступ к сайту проекта Sourcegraph"  +10 +/
Сообщение от Аноним (4), 01-Сен-23, 12:48 
Пока что чатгпт только требует чтобы ему платили за токены.
Ответить | Правка | Наверх | Cообщить модератору

12. "Атакующие получили доступ к сайту проекта Sourcegraph"  +2 +/
Сообщение от Аноним (-), 01-Сен-23, 13:26 
а chatgpt умеет искать? вы ничего не напутали?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

54. "Атакующие получили доступ к сайту проекта Sourcegraph"  +2 +/
Сообщение от Аноним (54), 01-Сен-23, 18:06 
Ну там ему надо правильно объяснить. Причём тому, который за деньги. Тогда чего-нибудь сделает, что можно полезно использовать.

Вещь неплохая, но вещь за абонентскую плату.

Ответить | Правка | Наверх | Cообщить модератору

74. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (74), 01-Сен-23, 20:33 
Selfhost решения нет? Проприетарный это чатджипити?
Ответить | Правка | Наверх | Cообщить модератору

76. "Атакующие получили доступ к сайту проекта Sourcegraph"  +2 +/
Сообщение от Аноним (76), 01-Сен-23, 21:19 
> Selfhost решения нет?

а у тебя уже есть Host на сотни терабайт и десятки тысяч A100, чтоб его крутить?

или надеешься, что твой Целерон для 775 с Радеон X1300, 2 ГБ DDR2 и 40 ГБ UATA2 за год обсчитает один запрос и не сгорит от натуги?

Ответить | Правка | Наверх | Cообщить модератору

78. "Атакующие получили доступ к сайту проекта Sourcegraph"  +4 +/
Сообщение от пох. (?), 01-Сен-23, 23:22 
А надо? Большие ресурсы требуются для обучения модели, а не для эксплуатации уже обученной для единственного пользователя.

Ответить | Правка | Наверх | Cообщить модератору

85. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от don Rumata (ok), 02-Сен-23, 13:45 
Есть https://github.com/trufflesecurity/trufflehog
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атакующие получили доступ к сайту проекта Sourcegraph"  +14 +/
Сообщение от Аноним (2), 01-Сен-23, 12:38 
Шел разраб по своему локальному working tree. Видит — токен с правами администратора. Взял и запушил его в репозиторий.
Ответить | Правка | Наверх | Cообщить модератору

3. "Атакующие получили доступ к сайту проекта Sourcegraph"  +6 +/
Сообщение от Аноним (4), 01-Сен-23, 12:46 
Всегда так делаю, вирусов нет, ЧЯДНТ?
Ответить | Правка | Наверх | Cообщить модератору

34. Скрыто модератором  +1 +/
Сообщение от Вирус (?), 01-Сен-23, 16:09 
Ответить | Правка | Наверх | Cообщить модератору

20. "Атакующие получили доступ к сайту проекта Sourcegraph"  +2 +/
Сообщение от Аноним (20), 01-Сен-23, 14:12 
Пока ты фетчишь, остальные уже запушат!
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "Атакующие получили доступ к сайту проекта Sourcegraph"  +1 +/
Сообщение от Аноним (22), 01-Сен-23, 14:18 
лично я пуллю
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  –3 +/
Сообщение от Аноньимъ (ok), 01-Сен-23, 12:50 
Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором  +/
Сообщение от Аноним (2), 01-Сен-23, 13:00 
Ответить | Правка | Наверх | Cообщить модератору

16. "Атакующие получили доступ к сайту проекта Sourcegraph"  +3 +/
Сообщение от YetAnotherOnanym (ok), 01-Сен-23, 13:36 
> движок для навигации по исходным текстам, рефакторинга и поиска в коде
> токен одного из администраторов сайта, случайно сохранённый в публично доступном репозитории проекта

Догадаются добавить поиск токенов в коде?

Ответить | Правка | Наверх | Cообщить модератору

56. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (54), 01-Сен-23, 18:10 
Догадаются прятать токен. И так до бесконечности гонка за ресурсы.

Проблема в человеке и команде. Есть команды, где пароли закоммичены в репо. Поэтому, выясняя свойства будущего места работы, полезно почитать их репо. Будет виден стиль и уровень в работе.

Ответить | Правка | Наверх | Cообщить модератору

73. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от пох. (?), 01-Сен-23, 20:27 
А как ты этот репо найдешь-то, я вообще в другом городе?!

Ответить | Правка | Наверх | Cообщить модератору

80. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (54), 02-Сен-23, 01:09 
Через поисковик из любопытства, т.к. токен по тексту новости буквально "в публично доступном репозитории проекта".
Ответить | Правка | Наверх | Cообщить модератору

83. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от пох. (?), 02-Сен-23, 09:16 
> Через поисковик из любопытства, т.к. токен по тексту новости буквально "в публично
> доступном репозитории проекта".

мало ли у нас публичных репозиториев о которых мы и сами не знаем...


Ответить | Правка | Наверх | Cообщить модератору

26. "Атакующие получили доступ к сайту проекта Sourcegraph"  –1 +/
Сообщение от Аноним (26), 01-Сен-23, 14:38 
>токен одного из администраторов сайта

Почему теперь слово "пароль" заменяют на "токен"?

Ответить | Правка | Наверх | Cообщить модератору

27. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (2), 01-Сен-23, 14:44 
> Почему теперь слово "пароль" заменяют на "токен"?

почему вообще поссумов стали называть опоссумами? типа на ирландский манер что ли? почему постоянно надо все переименовывать?

Ответить | Правка | Наверх | Cообщить модератору

32. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Опеннет познавательный (?), 01-Сен-23, 15:33 
> почему вообще поссумов стали называть опоссумами? типа на ирландский манер что ли?
> почему постоянно надо все переименовывать?

Так только невежды делают, ведь поссумы это млекопитающие отряда двурезцовые сумчатые, семейства кускусовые, а опоссумы, это млекопитающие отряда ососсумы, семейства опоссумовые.

Это примерно как сказать, что какие-то чудаки называют уток утконосами.

Ответить | Правка | Наверх | Cообщить модератору

48. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от пох. (?), 01-Сен-23, 17:41 
> Так только невежды делают, ведь поссумы это млекопитающие отряда двурезцовые сумчатые,
> семейства кускусовые, а опоссумы, это млекопитающие отряда ососсумы, семейства опоссумовые.

а какая разница? Оба некошерные. Мерзость.

> Это примерно как сказать, что какие-то чудаки называют уток утконосами.

это вот на букву м чудаки. Утку можно. Утконоса нельзя, он в перечень даже теоретически попасть не мог. Как можно перепутать?!


Ответить | Правка | Наверх | Cообщить модератору

69. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Опоссум_пох_дот (?), 01-Сен-23, 19:55 
А ты чего так нервничаешь в комментариях под этой новостью?
Уж не ты ли был тем самым администратором Sourcegraph у которого токен утек?)))
Ответить | Правка | Наверх | Cообщить модератору

72. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от пох. (?), 01-Сен-23, 20:26 
> А ты чего так нервничаешь в комментариях под этой новостью?

Нервничаю?! Да я наслаждаюсь. Прекрасная ж новость, что не так-то?!

> Уж не ты ли был тем самым администратором Sourcegraph

увы, нет.

Ответить | Правка | Наверх | Cообщить модератору

29. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Иваня (?), 01-Сен-23, 15:17 
Мы все люди, а людям свойственно ошибаться. Вы не исключение!
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

61. "Атакующие получили доступ к сайту проекта Sourcegraph"  +1 +/
Сообщение от Аноним (54), 01-Сен-23, 18:22 
>>токен одного из администраторов сайта
>Почему теперь слово "пароль" заменяют на "токен"?

Заменяют не слово пароль, а чаще используют обезличенные системы доступа. Ключ подходит к замку, но не привязан к имени.

Слово пароль чаще используют в связке логин-пароль - есть логин и к нему есть пароль. Слово токен чаще используют когда логин не используется совсем.

В т.ч. токен бывает с ограниченным временем действия. Выписали на 5 минут, провели короткую работу с API за десяток секунд и потом токен протух "сам по себе".

Работа по аутентификации с логином-паролем и затем выпуску токена может быть относительно нагрузочной. А при использовании готового токена можно аутентифицировать проще. Тем самым: один раз на сессию проверил что пришёл именно логин, выписал ему для работы токен, и токен отозвал через пять минут. Пусть логин приходит за новым токеном снова и продолжает дальше.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

62. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (54), 01-Сен-23, 18:23 
Специфика высокой нагрузки по сети.
Ответить | Правка | Наверх | Cообщить модератору

79. "Атакующие получили доступ к сайту проекта Sourcegraph"  –1 +/
Сообщение от Аноним2 (?), 01-Сен-23, 23:53 
Потому что не заменяют
Токен != пароль
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

82. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (82), 02-Сен-23, 09:05 
Токен самодостаточен, в отличие от пароля
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

30. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (30), 01-Сен-23, 15:19 
Клоунские шаред хостинги гита не умеют запускать pre-receive хуки для таких яжпрограммистов? Вот это открытие!
Ответить | Правка | Наверх | Cообщить модератору

64. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Аноним (54), 01-Сен-23, 18:26 
А он спрячет токен в base64 и присолит именем файла, так что хуком не увидишь.

Если человек не хочет напрягаться, то бороться очень трудно и затратно.

Можно делать ревью кода, находить и убирать такое отношение у человека.

Ответить | Правка | Наверх | Cообщить модератору

31. "Атакующие получили доступ к сайту проекта Sourcegraph"  +3 +/
Сообщение от жявамэн (ok), 01-Сен-23, 15:31 
узнал о таком сайте из новости.
Ответить | Правка | Наверх | Cообщить модератору

33. "Атакующие получили доступ к сайту проекта Sourcegraph"  –1 +/
Сообщение от Иваня (?), 01-Сен-23, 16:07 
Отстаёшь от трендов современности :(
Ответить | Правка | Наверх | Cообщить модератору

68. "Атакующие получили доступ к сайту проекта Sourcegraph"  +/
Сообщение от Жеванноштопанный пох_Ля (?), 01-Сен-23, 18:45 
Ужасная история с Sourcegraph.
Подскажите, какие действия планирует осуществлять администрация взломанного ресурса для предотвращения подобных инцидентов в будущем?
Ответить | Правка | Наверх | Cообщить модератору

77. "Атакующие получили доступ к сайту проекта Sourcegraph"  +2 +/
Сообщение от Аноним (76), 01-Сен-23, 21:25 
никаких. зачем?
Ответить | Правка | Наверх | Cообщить модератору

84. "Атакующие получили доступ к сайту проекта Sourcegraph"  +1 +/
Сообщение от InuYasha (??), 02-Сен-23, 10:42 
> случайно сохранённый в публично доступном репозитории проекта.

:D typical git user .com

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру