Ho trovato email e password su github, cosa dovrei fare?

9

Contenuti in questione: ho trovato un file in un repository pubblico su Github che contiene alcune 100 email, alcune con una password (come bcrypt).

Verifica: poiché riconosco diversi indirizzi e conosco lo sfondo del file in questione, sono sicuro che i dati siano autentici e non destinati a essere pubblici dai rispettivi proprietari .

Pubblicità: non ho trovato alcuna prova di consapevolezza del repository ovunque.

Come dovrei fare per rimuovere il file? È qualcosa a cui dovrebbe essere assegnato un CVE?

    
posta mafu 07.05.2016 - 23:11
fonte

1 risposta

8

Questo è un evento quotidiano non degno di un CVE.

Sembra che in questo caso potrebbe essere un semplice errore, tuttavia i seguenti sono passi utili che puoi prendere o almeno considerare per qualsiasi situazione in cui siano state scoperte credenziali.

Contatta gli utenti interessati, se necessario: il modo migliore per aiutare se si trattasse di un dump pubblico di password sarebbe l'invio di una singola e-mail BCC a ciascuna delle persone colpite lasciandoli sapere che le loro credenziali sono state divulgate e che dovrebbero cambiare rapidamente tutte le loro password e potenzialmente cercare prove di abuso di queste credenziali. Non copiare le informazioni o ridistribuirle, semplicemente invia un link a dove è stato pubblicamente esposto o dì loro il nome del sito.

Contatta il proprietario e gli account di abuso del fornitore di servizi: Allo stesso modo, se sai come sono state divulgate / perse le informazioni sarebbe sicuramente utile contattare l'organizzazione o le organizzazioni coinvolte che hanno perso le informazioni in modo possono gestirlo in modo appropriato. Per fare ciò basta inviare una e-mail a [email protected] e facoltativamente a [email protected] o altro indirizzo di contatto pubblicizzato.

Non firmare alcuna NDA in questo processo. Alcune aziende usano le NDA per evitare che vengano divulgate, ma è un problema brutto, non farlo. Dichiara che stai solo notificandoli del problema e non vuoi essere coinvolto.

Contattare gli utenti interessati è molto utile semplicemente perché alcune organizzazioni quando vengono contattate per la perdita di tali dati non fanno letteralmente nulla e non dicono mai agli utenti interessati (a seconda del paese in cui è ospitato potrebbe non violare alcuna legge locale). Almeno questo offre agli utenti la possibilità di proteggersi da ulteriori danni.

Ricorda che alcuni dump delle password sono falsi: quanto segue non si applica alla tua situazione specifica ma tieni presente che a volte le persone postano "dump delle password" falsi su siti come pastebin.com. Quindi usa il linguaggio appropriato quando scrivi le tue e-mail "Sembra che qualcosa possa essere successo ...". ecc ...

Supponendo che ciò non sia stato accidentale, puoi richiedere cortesemente che le informazioni vengano rimosse ma nel caso di un dump della password se è stato reso pubblico altrove l'utente potrebbe non avere alcun obbligo di rimuoverlo (non il tuo situazione lo cito solo per altri). Ancora una volta le password scaricate on-line sono un evento comune e ci sono molti siti che ospitano milioni di password esposte da siti compromessi.

    
risposta data 07.05.2016 - 23:33
fonte

Leggi altre domande sui tag