欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

Github信息泄露事件再次大规模爆发,企业要如何坚守?

程序员文章站 2022-03-19 11:22:28
    武林中有一种笑傲江湖叫做身怀绝技,战争中有一种蔑视群雄叫做原子核武,然而安全领域有一种无坚不摧叫做github在手,哥啥都不会照样轻松搞穿你的内网&hell...

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

武林中有一种笑傲江湖叫做身怀绝技,战争中有一种蔑视群雄叫做原子核武,然而安全领域有一种无坚不摧叫做github在手,哥啥都不会照样轻松搞穿你的内网…

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

首先搜索查询到该处泄漏了提交代码人的邮箱地址和账号密码

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

登录进邮箱,查看到企业地址薄

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

邮箱内有企业邮箱、密码

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

可登陆163邮箱,邮箱含企业内部邮件

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

根据邮件链接 可以跳转至企业号后台

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

可以看出,此次入侵内网并没有用到任何复杂的黑客技术,只是在github平台内进行关键字搜索,检测到address、password等敏感字段进行尝试登录,这样的入侵相信小学生都可以完成,然而被入侵到内网对企业来说损失有可能是巨大的。

Github敏感信息泄漏带来的损失仅限于内部管理平台被入侵吗?

Github上面泄漏的敏感信息不仅只有个人的邮箱、企业后台,通过渗透黑客很可能获取企业的核心业务源代码,应用的逻辑架构,数据库地址、账号密码,内部vpn信息,人事信息等所有内部敏感信息,所带来的危害比被攻破数道防火墙,被挖掘出数个web漏洞要大得多!

 

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

Gituhub敏感信息泄漏问题是否只存在于某个或者少数公司呢?

 

在某漏洞平台搜索github关键字就可以匹配到627条关于github导致的漏洞问题,其中包含*机关、企业、医疗、大专院校等各个领域,其中不乏有京东、唯品会,万达等知名企业。2016年以来短短三个月时间github引起的新增漏洞就有18起,而这个数字还不包含各SRC曝出的和未被公开的庞大漏洞数量

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

为何Github敏感信息泄漏问题频发,屡禁不止且很难解决?

Github平台对大部分程序员来说已经再熟悉不过,很多开发人员通过github提交代码进行研究、学习已经养成了习惯。企业内开发人员众多,很多程序员存在安全意识不足的问题,将公司源代码提交到github上,而且没有进行敏感字过滤,其中包含的大部分账号密码都以明文方式直接提交。由于公司开发人员的流动性,问题责任人很难定位。

携程对于Github敏感信息泄漏的处理

携程作为一个大型互联网旅游公司,拥有着上千程序开发人员,我们也遇到过严重的Github敏感信息泄漏问题。为了应对此安全漏洞,我们最初的处理方法是人工检查加邮件警告。安全运营负责在Github上搜索公司相关源代码,寻找责任人以删除代码并给予邮件警告,但由于Github平台上代码量很大,搜索到的相关敏感字有数千条,并且时有更新,公司内部开发人员具有流动性,多数已确认代码提交者已离职或者更换部门,很难联系到相关责任人进行代码删除,而随着新的开发员工的入职又带来了新的安全威胁。以邮件警告的方式也没有引起全体开发人员的重视,未达到预期的警示效果。

为了更好的解决Github敏感信息泄漏问题,我们信息安全部从技术和管理两方面进行了改进,技术上内部开发了github Scan扫描工具,对Github代码泄漏实现系统化工作检测。

Githut Scan系统可根据自定义关键字进行配置巡检,系统自动跟踪检测到github上的匹配敏感信息会发送异常邮件报警

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

Github Scan支持自定义白名单,过滤检测站点

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

我们的安全人员可以通过结果列表快速跳转至github相关链接进行代码审核,对于检测到的数据可在系统内进行未处理、确认和误报的分类,便于日常处理问题跟踪

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

对于已经确认的代码泄漏,我们将根据github上代码提交人和代码相关内容进行分析,确定问题责任人和项目所属,邮件至相关部门负责人进行内部整改,删除github上面泄露代码,修改泄露地址,账号、密码等敏感信息,对于代码责任人已离职情况,我们会通知其原有部门领导通知其删除代码。

在管理制度上我们进行了相关完善,制定了严格的《源代码安全管理条例》,目前携程员工首次将公司源代码上传到github上时责任人及其直属领导均进行1000元的现金处罚,再次上传者给予辞退处理。除了安全管理规定,我们内部出版安全刊出普及信息安全知识,员工定期进行信息安全培训,每半年全员参加信息安全考核,提高员工信息安全意识。系统化的工作方式加上严格的管理制度,解决了初期人工检查阶段所遇到的各种问题,取得了良好的效果。

Github敏感信息泄漏不仅是某个开发人员存在的问题,也不仅是某个互联网企业存在的问题,各大平台都报道过各个领域,各个行业存在的github敏感信息泄漏事件。为了避免互联网行业内其他公司重复我们解决问题初期所遇到的问题困惑,携程安全总监凌云决定对社会开放我们的系统,欢迎大家接入使用,同时我们会认真听取大家所提的宝贵意见,不断完善,努力创新,与大家携手创建更加安全的互联网环境!

 

Github信息泄露事件再次大规模爆发,企业要如何坚守?

 

 

携程安全SAAS平台为携程安全部近期开发的安全工具分享平台,为有需要的企业、组织提供帮助。目前平台已上线GithubScan和风险库两款工具。GithubSan监控github代码库,及时发现员工托管公司代码到Github行为并预警,降低代码泄露的风险,风险库帮助企业有效防御羊毛党。目前已有京东、唯品会、网易、艺龙、同程、去哪儿、点融网等多家公司的安全团队接入使用,后续将逐步开放CVE预警等多个安全工具。SAAS携程安全平台网址https://security.ctrip.com/用户可在官网进行账号注册,我们将进行内部审核,让我们一起做一些互联网公司喜欢的安全小工具,让我们的业务更加安全!