近日,据国外媒体报道,去年Uber曾遭受黑客攻击并导致数据大规模泄露。黑客通过第三方云服务对Uber实施了攻击,获取了5700万名用户数据,包括司机的姓名和驾照号码,用户的姓名、邮箱和手机号。
经过调查发现,数据泄露原因竟然是Uber解锁数据库的安全密钥被存储在GitHub的一个可以公开访问的页面。外媒称这是“In major goof”(超级傻瓜)的失误。
似乎将密匙,敏感信息上传到GitHub公开页面并非只有Uber才这样做。在GitHub上使用关键字:“extension:key BEGIN RSA PRIVATE KEY”搜索,发现有很多人将私有密匙上传到了GitHub公开页面上,搜索结果高达5W多条。
什么是GitHub
gitHub是一个面向开源及私有软件项目的托管平台,因为只支持git 作为唯一的版本库格式进行托管,故名gitHub。除了git代码仓库托管及基本的 Web管理界面以外,还提供了订阅、讨论组、文本渲染、在线文件编辑器、协作图谱(报表)、代码片段分享(Gist)等功能。目前,其注册用户已经超过350万,托管版本数量也是非常之多,其中不乏知名开源项目 Ruby on Rails、jQuery、python 等。
如何保管私钥文件
其实很多的信息泄露事件可以避免,人们往往忽略了密钥存储的安全性。密钥对加密信息解密,保护信息安全的重要因素之一。如果私钥泄露,服务器的加密安全协议都会受到威胁,如SSL证书、代码签名证书等常见的数字证书。黑客和网络罪犯可以从字面上肆意破坏服务器的私钥。
因此对于私钥必须要小心储存。
国内信息安全服务商数安时代(GDCA)建议服务器用户不要私钥存储在未经授权的人可以访问的网络上。将私钥存储在物理硬件令牌(如U盾)中远比网络上安全。这个令牌可以在任何时候被物理上占用。无疑增加了一个有益的额外的安全层,在实际中必须在物理上获得密钥才能使用密钥。
如扩展型验证的代码签名证书实际上带有存储在物理硬件令牌上(如U盾)的私钥。但是,服务器用户可以将私钥存储到物理硬件令牌上。
最后,数安时代(GDCA)提醒广大用户,千万管好个人的敏感信息,不要随便把未经审查的东西上传到公开页面,包括GitHub。
领取优惠
提交成功!