Menéame: comentarios [3101608]

#8 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

mmm_ — Sat, 23 Mar 2019 10:25:56 +0000

#7 Es más, pueden haberse dado cuenta y haberlas eliminado, pero siempre quedan en el histórico.

» autor: mmm_

#7 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

scalvo — Fri, 22 Mar 2019 19:38:46 +0000

#2 A cualquier humano, ya que los humanos cometen errores.

» autor: scalvo

#6 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

m4k1n4v4j4 — Fri, 22 Mar 2019 18:36:56 +0000

#5 Pues sí, debería modificarse para poner lo que dices o incluir el api or original y dejar 100.000

» autor: m4k1n4v4j4

#5 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

juanparati — Fri, 22 Mar 2019 18:21:55 +0000

#3 Yo modificaría el titulo por algo así como: "Se han encontrado claves privadas en más de 10.000 repositorios de GitHub".

Ya sé que el titulo se ha traducido directamente del Inglés, pero incluso los gente que escribe artículos en los medios no lo hacen correctamente o simplemente utilizan titulares que son carne de "Clickbait".

» autor: juanparati

#4 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

m4k1n4v4j4 — Fri, 22 Mar 2019 18:20:52 +0000

#3 También hablan de llaves criptográficas (y de que muchos borraron los datos solo una hora después de la filtración):

The team said that six percent of the API and cryptographic keys they've tracked were removed within an hour after they leaked, suggesting that these GitHub owners realized their mistake right away.

Mira:

Last, but not least, researchers also found 7,280 RSA keys inside OpenVPN config files

» autor: m4k1n4v4j4

#3 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

juanparati — Fri, 22 Mar 2019 18:17:08 +0000

He votado erronea esta noticia porque realmente no ha se filtrado ninguna clave. Según el paper que cita el articulo, lo que sucede es que muchos usuarios publican sin querer tokens de acceso a diversos servicios y aunque estos tokens son eliminados posteriormente, gracias a la naturaleza de un sistema de control versiones los token pueden sen encontrados automáticamente en el historial usando ciertos patrones y algoritmos explicados en el paper.

Si tienes un proyecto público en GitHub y nunca ni siquiera de forma erronea has publicando una clave o token de acceso, entonces no tienes nada que temer. Si este no es tu caso lo que debes hacer es simplemente eliminar totalmente el repositorio y volver a subir tu proyecto a una nuevo desde el ultimo "HEAD" y luego cambiar o renovar los token de acceso.

» autor: juanparati

#2 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

--542333-- — Fri, 22 Mar 2019 18:13:56 +0000

[Usuario deshabilitado]

» autor: --542333--

#1 Se han filtrado las claves criptográficas de más de 100.000 repositorios de GitHub [Eng]

sorrillo — Fri, 22 Mar 2019 18:07:41 +0000

Entiendo que se refieren a que hay proyectos en github en cuyo código publicado aparecen claves API de forma explícita, de manera que el programa funcione sin que quien lo descarga deba obtener la suya propia.

Un ejemplo de ello es la herramienta gmvault¹, que permite hacer copias de seguridad de correos de Gmail. El autor al parecer utilizó su propia clave API para publicarla con el código de forma que facilitase el trabajo a quienes lo descargasen, eso puede suponer un riesgo para la seguridad y además a Google no le gusta, por lo que esta aplicación dejará de funcionar a finales del mes vigente.

Se requerirá algún cambio en la aplicación para que cada cual se genere su clave API y la introduzca en su copia de la aplicación.

Y como este caso entiendo que habrá esos 100.000 respositorios cada cual por sus motivos.

¹ github.com/gaubert/gmvault

» autor: sorrillo