返回

9102年的数据泄漏,裸奔的不只是你的个人信息

2019-11-10 08:34Alfred数据室公众号

数据泄露 个人信息 个人隐私

声明:本文来自于微信公众号Alfred数据室(ID:Alfred_Lab),授权站长之家转载发布。

日前,疑似“陕西普通话成绩查询网(sxpth.cn)”由于网站的程序员把所有考生信息(包括照片、身份证、准考证号、院校等)通过硬编码的方式直接写进了网页源代码里,导致大量考生信息泄漏。

数据泄露 个人信息 个人隐私

该网站在之后被查明是一个假冒官方的网站。不过这种 “Serverless无服务器”的架构方式受到了程序员的群嘲,也引起了大众对于个人数据泄漏的担心。

数据泄露 个人信息 个人隐私

虽然以上这种低级的错误,相信绝大多数稍有水平的程序员都不会犯。然而,目前确实还存在着很多由于开发者数据安全意识不强造成的数据泄漏,其中最明显例子的就是在GitHub上。

今年 4 月 22 日哔哩哔哩源代码GitHub泄漏门估计大家都还记忆犹新,更久远一些的Uber5700 万司机与乘客数据泄漏,估计大家也还有印象,但是如果你以为GitHub上只会由于程序员的不小心偶尔泄漏某些大公司的源代码或者数据,那你就大错特错了。

为了让大家了解由于开发者的数据安全意识不强(很多时候是无意的)而导致的在GitHub平台上的数据泄漏,我们对此进行了一番研究,得出的结果可谓是触目惊心:你的身份证、住址、电话等个人信息,邮箱账号、密码、银行卡号等敏感信息,个人或企业的数据库,可能都在GitHub上以公开信息的形式裸奔。

一、什么是GitHub

GitHub是目前最大的软件源代码托管平台,类似于代码的云仓库。简单来说,假如开发者小A开发了一款坦克大战的游戏,他可以通过GitHub把这款游戏的源代码开源出来,供全世界的开发者参考和学习。

当然,为了这款游戏更完善,全世界的开发者也可以通过GitHub提出自己的修改版本,大家一起完善这款游戏。GitHub由于本身具备代码开源共享的属性,吸引了超过四千万的用户,保存了超过 1 亿个代码存放的仓库。

数据泄露 个人信息 个人隐私

代码开源共享促进了开发者的学习和交流,也成为了开发者的一大主流价值观。大家越来越愿意把自己写好的代码文件提交到GitHub上供其他人参考和学习,然而在提交的过程中,很可能就无意识地把一些代码中的敏感信息和文件一并共享了出来。

二、个人邮箱账号密码泄漏

开发者不小心共享出来的东西有哪些呢?最常见的就是各种账号和密码,特别是通过硬编码方式写入代码文件里面的个人邮箱账号密码。这些提交到GitHub平台共享出来的账号密码,任何人通过关键字搜索都可以获取到,相当于直接公开。

数据泄露 个人信息 个人隐私

我们在GitHub通过关键字搜索发现,包含网易、QQ、新浪、Gmail、Outlook、Hotmail、Yahoo等各种邮箱的账号和密码在GitHub平台上都存在公开泄漏。以下是通过关键字搜索得出的各主流邮箱账号和密码存在于代码文件中的数量:

数据泄露 个人信息 个人隐私

可见单单Gmail就存在1350. 9 万个,当然这1350. 9 万个结果当中,有些只是代码文件中包含了关键字,有些账号对应的密码已被安全意识较强的开发者提交GitHub前就删除掉了。但是如果只按5%的账号密码有效比率来估计的话,这里面列出来的邮箱中,就存在 139 万个邮箱的账号密码存在公开泄漏。

相关文章 大家在看
数据泄露
1406篇文章
查看