从华住酒店信息泄露看代码托管平台Github的安全

2018年8月29日 0条评论 9,918次阅读 10人点赞

摘要:

这是一个最好的时代，也是一个最坏的时代。我们享受着信息时代的便利，也承受着信息时代的恶果。信息泄露事件层出不穷，继A站近千万条数据公开泄露、“史上最大规模”微博微信盗号案告破不到三个月的时间，华住酒店又一-大数据泄露惨状摊开在众人面前，硬生生地给身处信息化时代的我们再一一个巴掌。据分析，此次信息泄露事件是由程序员将数据库账号密码上传到代码托管平台Github所致。这种傻瓜式上传错误让黑客几乎不用任何技术，只是在Github平台内进行关键字搜索，检测到address、password 等敏感字段进行尝试登录，这样的入侵相信小学生都可以完成，然而被入侵到内网对企业来说损失有可能巨大的。面对这些，我们该如何看待代码托管平台的安全问题，又如何解决Github敏感信息泄露。本文将从华住酒店信息泄露引入，联系近些年发生的Github敏感信息泄露事件，分析Github信息泄露的类型和方法，最后从个人和企业角度探讨代码托管平台的安全保障手段。

杂货君梳理

8月28日，据国内民间互联网组织网络尖刀团队称，据其接到的情报，华住旗下酒店开房记录疑似泄露，并在黑市进行售卖，据该团队通过技术手段验证认为数据可信度相对较高，对此，华住酒店集团方面表示，已经第一时间报警，公安机关正在开展调查；集团也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。据互联网安全厂商紫豹科技披露的信息，此次泄露数据的主体为华住酒店管理有限公司，黑客已向黑市出售，涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友此次信息泄露包含亿万条开房数据。三个数据库（crm、cusinfo、history）总大小已经接近141.5GB。crm应该就几个酒店的相关资料，cusinfo应该是用户个人信息表，最敏感的无疑是history表，记录了大家最关心的开房记录。具体数据库包含数据如下图所示。数据泄露的范围包括：官网注册资料（身份证、手机号、邮箱、身份证号、登录密码等，共53G，约1.23亿条记录）入住登记身份信息（姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条）酒店开房记录（内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条）

对此，华住方面表示，“无论网络上相关个人信息是否来源于华住，是否属于擅自传播个人信息均构成犯罪，请相关行为人立即停止传播、兜售个人信息的违法行为并向公安机关投案自首。”华住集团发布声明如下：

杂货君分析

本次华住集团信息泄露引起的公众广泛的关注，信息泄露的危害的确很大，主要的危害如下六个方面：

那么，这次信息泄露的具体原因到底是什么呢？据分析，就是程序员把数据库的访问权限上传到代码托管平台Github上所致。我们分析一下Github上的华住酒店源码的配置文件，可以看到用户名和密码：root/123456数据公网访问：119.3.25.176:3306看到这，很多人会感到好笑，这不就是密码排行榜排名第一的密码吗？

从此次信息泄露我们可以看到，国内像华住这样的不少公司，信息安全一直不被重视。据内部人员透露：信息安全部门的地位一直很尴尬，尤其某些数据量巨大的传统行业甚至像学校政府机关，从业者自嘲自己是边缘人。公司财务状况吃紧，首先考虑裁减的就是信息安全方面的措施和预算。其实老板们不一定是不懂数据安全的重要性，有些是“选择性忽视”。在商言商，老板们凡事都是讲效益、利润率的，说白了，信息类安全项目都属于光投入不产出的，行话就投资回报率ROI低，公司如果只剩最后一点粮食，那肯定是销售部门的，因为人家能带来“盈利”。而数据只要不出事就行，所以安全部门是最边缘的。而且，虽然有法律保障，但是目前数据泄露对企业没任何处罚的情况下，很难保证数据的安全性。真的想减少数据泄露，除了对非法黑客的刑事手段，我们更希望增加对数据负责人的刑事行政手段，完善加强第三方检测机构。对于个人和企业，我们如何保障自己的信息安全呢？要知道如何防守，首先需要知道黑客是如何利用漏洞进行攻击的。知己知彼，方能百战不殆。此次华住酒店信息泄露是由代码托管平台github引起的，所以本文主要分析Github敏感信息泄露问题。

杂货君总结

近年github敏感信息泄露事件有人笑称：武林中有一种笑傲江湖叫做身怀绝技，战争中有一种蔑视群雄叫做原子核武，然而安全领域有一种无坚不摧叫做github在手，哥啥都不会照样轻松搞穿你的内网。Github漏洞入侵内网的确不需要什么技术。在某漏洞平台搜索github关键字就可以匹配到627条关于github导致的漏洞问题，其中包含政府机关、企业、医疗、大专院校等各个领域，其中不乏有京东、唯品会，万达等知名企业。近年来，Github敏感信息泄露事件也是层出不穷，这里只举几个关键例子

1 Uber司机数据库泄露

全球最大的打车APP Uber宣布司机数据库在2014年5月份遭到攻击，导致50000名司机信息（包括司机姓名和驾驶证号）泄露。经过调查，Uber发现本是机密的司机数据库访问账号、密码竟然公然出现在GitHub公共区域中！黑客发现并利用这些密钥窃取了Uber内部数据库。

2 步步高商城泄露集团各分店账号密码

步步高集团始创于1995年。2015年，步步高商城某些开发人员意识不足，肆意将机密信息上传代码托管平台GitHub，导致企业员工邮箱，联系电话信息泄露，集团各分店账号密码信息泄露。3 某大型知名保险公司泄露数据库账号密码，测试环境账号密码

4 国际房地产服务商竞优集团内部绝密资料泄露

用户向GitHub公开上传了包含大量机密资料的文件，这些文件在网络上可随意查看这个安全问题可直接导致关联企业敏感数据泄露，万达集团、中天集团等知名地产商中枪5 携程Github敏感信息泄漏携程作为一个大型互联网旅游公司，拥有着上千程序开发人员，我们也遇到过严重的Github敏感信息泄漏问题为何Github敏感信息泄漏问题频发，屡禁不止且很难解决？Github平台对大部分程序员来说已经再熟悉不过，很多开发人员通过github提交代码进行研究、学习已经养成了习惯。企业内开发人员众多，很多程序员存在安全意识不足的问题，将公司源代码提交到github上，而且没有进行敏感字过滤，其中包含的大部分账号密码都以明文方式直接提交。由于公司开发人员的流动性，问题责任人很难定位。

Github敏感信息泄露类型和方法

Github是一个分布式的版本控制系统，目前拥有140多万开发者用户。随着越来越多的应用程序转移到了云上，Github已经成为了管理软件开发以及发现已有代码的首选方法。,Github虽然方便开发者，但其中也埋藏着一些安全隐患。

下面介绍几种Github上查找敏感信息的方法。要知道怎么防守，首先得了解如何攻击。

1 Github之邮件配置信息泄露很多网站及系统都会使用pop3和smtp发送来邮件，不少开发者由于安全意识不足会把相关的配置信息也放到Github上，所以如果这时候我们动用一下google搜索命令语句，构造一下关键字，就能把这些信息给找出来。如下命令：

site:Github.com smtpsite:Github.com smtp @qq.comsite:Github.com smtp @126.com

site:Github.com smtp @163.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

site:Github.com String password smtp

2 Github之数据库信息泄露

如下命令：

site:Github.com sa password

site:Github.com root password

site:Github.com User ID=’sa’;Password

案例展示：某国内著名互联网公司A内网mssql数据库账号密码泄露 sa权限

3 Github之svn信息泄露如下命令：site:Github.com svnsite:Github.com svn usernamesite:Github.com svn passwordsite:Github.com svn username password

4 Github之数据库备份文件

如下命令：site:Github.com inurl:sql

一个数据库备份文件从而找到后台管理员账号密码找到地址登陆后台这样的例子有不少

5 Github之综合信息泄露

如下命令：

site:Github.com password

site:Github.com ftp ftppassword

site:Github.com 密码

site:Github.com 内部

查找敏感信息算是初级方法，更高级的github信息泄露手段是Github爬虫

Github信息泄露爬虫

不止web路径下的.git目录会泄露信息，在托管的开源代码中也会产生信息泄露。例子很多，比如php连接数据库的配置文件泄露，那么可能数据库帐号密码都泄露了，任何人都可以访问这个数据库。再比如通向内网的帐号密码，管理员帐号密码乃至ssh密钥。

基本方法是：在github上找api的密钥。因为相比与帐号密码，这个不但泄露的更多，而且也更难以注意察觉，并且我们调用方便。比如查询whois信息，子域名检测等等，很多安全厂商提供了api接口，所以如果你没有密钥，不妨试试这个github信息泄露的方法。

shodan可能很多安全从业者都知道，这是一个很强大的搜索引擎。我们可以通过shodan的api文档去爬取github的敏感信息。

这里只是以shodan api为例子，提醒大家注意github信息泄露，不只是shodan api，github上有更多的api等待你去挖掘。

Github信息泄露引发大众的恐慌，那么，我们如何应对这样的信息泄露问题呢？下面，杂货君从从个人和企业两个方面给出应对信息泄露的建议

如何保障个人的数据安全

保障个人数据安全，首先要有数据安全意识

1从自身出发加强防范意识，不同网站或应用最好不要总是使用同一个密码，可以使用三方管理密码工具辅助记录密码，比如1Password/Google/Safari自动填充密码等

2 使用高强度密码，包含大小写字母+数字+特殊字符，长度大于8位

3 密码定期更改，比如三个月

4 减少以隐私换取小便利的机会

5 定期清理网站 Cookie

针对这次数据泄露主要给出以下建议：

此次泄漏的密码虽然是加密的，但加密算法不强，经过测试可以解密并登陆成功，所以请有华住账号的立即修改账号密码，很多人多个网站都使用同一个密码，修改和华住一样密码的网站密码，由于信息泄露过多，后面接到任何奇怪的电话（能准确报出你的一些信息）都直接挂掉，这类就是典型诈骗电话，并通知家里人（尤其老人）遇到类似电话不要被骗了，这批数据很快将会可以公开查询，届时可以很容易的通过姓名/邮箱或者身份证号码关联出你的开房记录，并且和你住同一个房间的男生/女生信息，这个只能做好心里准备了。

企业如何应对github敏感信息泄露？

大公司比如阿里巴巴/腾讯都有几千人的专职网络信息安全人员从各维度进行漏洞发现和防护，普通黑客很难进去盗取数据，但对于一些政府网站/传统行业网站就很容易被攻陷。没有绝对安全的网站，一切的攻击只是成本问题。加强网络信息安全建设投入，安全是个攻防对抗过程，不断的提升成本让黑客转而去搞其它网站，然而github敏感泄露却是企业敏感信息泄露的典型代表，一般而言主要是开发大神们缺乏安全意识所致。在企业的安全建设项目中，防止github信息泄露主要可以从：制定相关制度–>安全意识培训–>技术手段监测–>相关问题处置角度出发，持续进行维护并形成一个完整的闭环。

目前主要的防范措施如下

1 制度管控“无规矩不成方圆”，先制定相关制度禁止将公司业务相关代码提交至公网github，并在公司范围内宣贯，可以通过邮件、海报、易拉宝、各开发部门依次推广等方法2意识培训涉及开发与运维人员，准备大量github信息泄露导致企业系统被攻击的案例，针对开发部门进行现场剖析与宣讲。也可以在公司内开展安全期刊、海报等宣传工作3 GitHub巡检使用互联网上的开源工具进行搜索。常见的有：GitMiner-Master、githubscan-master、Hawkeye-master等

4 数据防泄漏DLP是作为github信息泄露监测的重要辅助方法。恰逢公司内部正在推动数据防泄漏项目，对企业代码这一块的监管也将纳入其重点。出乎意料的是，除了可以看到开发上传代码至github上外，还会发现不少在用百度网盘、移动存储介质拷贝。DLP的实施对github敏感信息泄露检测提供强有力的保障，相比使用开源系统或google语法更有效、更高效也可以部署GSIL来做到近实时监控5 内部自检git平台“不能让业务没地方玩，不然没人跟安全玩。”不允许开发上传公司业务相关代码至公网github，但是应该在内部搭建git平台供大家交流使用。此处有一个界定–公司业务相关代码：可以约定俗称，在公司的开发规范化中规定变量名统一特殊命名方法，以及插入特定的关键单词到代码中。那么如果github上信息已经泄露，我们该如何应对，主要有如下几个方法

大数据时代数据安全非常重要，代码托管平台github敏感数据安全更是其中尤为重要的一环。此次华住酒店信息泄露事件给我们敲响了警钟。本文转载自网安杂货铺：https://mp.weixin.qq.com/s/Oeg-PsstpInQM0-9H1nwfA