Code-Search in GitHub offenbart Passwörter
Kommentare

SSH-Schlüssel, Anmeldedaten für das Chromium-Repository und noch weitere vertrauliche Informationen wurden bei der gestrigen Einführung der viel begrüßten Code Search auf GitHub offengelegt. Auf Twitter

SSH-Schlüssel, Anmeldedaten für das Chromium-Repository und noch weitere vertrauliche Informationen wurden bei der gestrigen Einführung der viel begrüßten Code Search auf GitHub offengelegt. Auf Twitter machten dieselben mehrfach die Runde. Während GitHub bis jetzt offiziell weder auf Twitter noch im Blog Genaueres dazu bekanntgab, wurde scheinbar als Reaktion auf den Patzer die Suche vorsorglich offline genommen. Der Vorwand auf der Status-Seite lautet: „Search remains unavailable. The cluster is recovering […]“

GitHubs Suchcluster bereite dem Dienst Schwierigkeiten. Es ist aber davon auszugehen, dass Sicherheitsbedenken der wahre Grund für die Downtime sind.

Inwieweit es tatsächlich nötig ist, die dafür eingesetzte ElasticSearch zu „recovern“, sei jetzt dahingestellt. Sicherheits-Bloggerin Melissa Elliott alias 0xABAD1DEA wünscht sich indes, dass die Zeit dafür genutzt wird, intelligente Filter einzubauen, die zumindest .ssh- und .gnupg-Dateien unsichtbar machen. Denn einige GitHub-User scheinen unwissentlich reihenweise Credentials hochzuladen, ohne es zu merken. Doch gestern wurde dies einigen zum Verhängnis.

Da mittlerweile ganze Pakete mit Login-Daten online verfügbar wurden, beziehungsweise nicht klar ist, wer sich bei wem Zutritt verschafft hat, solltet Ihr eventuell Eure Repositories und die Eurer Bekannten noch einmal auf Login-Daten abklopfen. Falls Ihr fündig werden solltet, wäre es ratsam, die fraglichen Keys auszutauschen. Mehr zu den Features der neuen GitHub-Suchfunktion findet Ihr in unserer gestrigen Meldung.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -