Troy caça divulgou informações sobre mais um vazamento de dados que afecta mais de 8 milhões de perfis GitHub. O pesquisador de segurança, Contudo, fez questão de destacar que o vazamento não é um resultado de uma vulnerabilidade encontrada no GitHub:
(...)Este incidente não é sobre qualquer tipo de vulnerabilidade de segurança em nome do GitHub, em vez disso, refere-se a um acervo de dados do seu local que foi inadequadamente raspada e, em seguida, inadvertidamente exposta devido a uma vulnerabilidade no outro serviço. Meus dados. Provavelmente seus dados se você estiver na indústria de software. Milhões de dados das pessoas.
Mais particularmente, tecnologia site de recrutamento GeekedIn tem raspado 8 milhões de perfis GitHub e deixou os dados expostos em um banco de dados MongoDB unsecured. O backup do banco de dados foi baixado por um terceiro, mas outros podem ter baixado-lo bem. Pior é que os investigadores suspeitam que os dados estão à venda on-line.
Este não é o primeiro incidente relacionado com a segurança envolvendo MongoDB. Por exemplo, a razão para uma violação de dados que ocorreu no início deste ano - a de namoro site BeautifulPeople(.)com - era de fato um banco de dados MongoDB vulneráveis. O incidente expôs mais de um milhão usuários do serviço.
relacionado: Pessoas bonitas(.)com site de namoro em um escândalo de violação de dados Maior
Quanto ao incidente GitHub, Troy caça recebeu o arquivo de backup que também tinha sua própria informação. Ele imediatamente notificado GitHub do que aconteceu. Como sempre, Troy caça forneceu-nos com um análise muito detalhada do que exatamente aconteceu. Se você está no GitHub, certifique-se de lê-lo.
O que está dentro do arquivo de backup?
8.2 milhão de endereços de e-mail exclusivo, que pertencem a usuários de GitHub, Bitbucket (serviço de hospedagem web-based para projetos), e altamente provável que outros serviços também.
Os registros têm nomes de usuários, usernames, endereço de e-mail, localização geo, lista de competências profissionais, anos de experiência profissional.
O que fazer GeekedIn?
A empresa raspou a informação e criou o seu próprio banco de dados. A coisa escandalosa é que GeekedIn está oferecendo esta informação para empresas à procura de desenvolvedores. Este “serviço”, Contudo, não é de graça, o que viola diretamente a permissão de GitHub para raspagem de dados.
relacionado: Recrutamento Empresa Michael Page se junta à família violação de dados
GitHub permite outras empresas para raspar os dados de seus usuários somente se ele é feito para o mesmo fim para que os usuários deram suas informações para GitHub. Isto é o que a empresa disse Troy caça:
Usando informações raspado para um propósito comercial viola a nossa política de privacidade e nós não toleramos esse tipo de uso.
Demorou algum tempo e muitos esforços para caça de estabelecer contato com GeekedIn. afinal, eles prometeram proteger os dados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: