Troy Hunt a publié des informations sur encore une autre donnée fuite affectant plus de 8 millions de profils GitHub. Le chercheur en sécurité, cependant, fait en sorte de mettre en évidence que la fuite ne résulte pas d'une vulnérabilité trouvée sur GitHub:
(...)Cet incident est pas toute sorte de vulnérabilité de sécurité au nom de GitHub, plutôt elle se rapporte à un trésor de données de leur site qui a été inappropriée grattée puis par inadvertance exposés en raison d'une vulnérabilité dans un autre service. Mes données. Probablement vos données si vous êtes dans l'industrie du logiciel. Des millions de données de personnes.
Plus particulièrement, site de recrutement de la technologie GeekedIn a raclé 8 millions de profils GitHub et a laissé les données exposées dans une base de données MongoDB non garantis. La sauvegarde de la base de données a été téléchargé par un tiers parti, mais d'autres peuvent avoir téléchargé ainsi. Le pire est que les chercheurs soupçonnent que les données sont en vente en ligne.
Ce n'est pas le premier incident lié à la sécurité impliquant MongoDB. Par exemple, la raison d'une violation de données qui a eu lieu plus tôt cette année - l'un des site de rencontres BeautifulPeople(.)com - était en effet une base de données MongoDB vulnérables. L'incident exposé plus d'un million d'utilisateurs du service.
en relation: BeautifulPeople(.)com Le site des rencontres Dans une violation Scandal Major données
En ce qui concerne l'incident GitHub, Troy Hunt a reçu le fichier de sauvegarde qui avait aussi ses propres informations. Il a immédiatement informé GitHub de ce qui est arrivé. Comme toujours, Troy Hunt nous a fourni une analyse très détaillée de ce qui est arrivé exactement. Si vous êtes sur GitHub, assurez-vous de le lire.
Qu'est-ce à l'intérieur du fichier de sauvegarde?
8.2 millions d'adresses e-mail uniques, qui appartiennent aux utilisateurs de GitHub, bitbucket (service web d'hébergement pour les projets), et d'autres services hautement probables ainsi.
Les enregistrements ont des noms d'utilisateurs, les noms d'utilisateur, adresses e-mail, emplacement géo, liste des compétences professionnelles, années d'expérience professionnelle.
Que GeekedIn at-il fait?
La société raclé l'information et a créé sa propre base de données. La chose scandaleuse est que GeekedIn offre ces informations aux entreprises qui cherchent pour les développeurs. Ce "service", cependant, est pas gratuit, qui viole directement la permission de GitHub pour le raclage de données.
en relation: Cabinet de recrutement Michael Page rejoint la Brèche Famille de données
GitHub permet à d'autres entreprises pour gratter les données de leurs utilisateurs que si elle est faite dans le même but pour lequel les utilisateurs ont donné leurs informations à GitHub. Ceci est ce que l'entreprise a déclaré Troy Hunt:
Utilisation de l'information raclé à des fins commerciales viole notre déclaration de confidentialité et nous ne tolère pas ce genre d'utilisation.
Il a fallu un certain temps et beaucoup d'efforts pour Hunt pour établir le contact avec GeekedIn. Finalement, ils ont promis de sécuriser les données.