Un análisis de la Universidad de Carolina del Norte ha escaneado miles de millones de archivos de los repositorios públicos de GitHub y ha revelado que más de 100.000 repositorios han filtrado tokens de API y claves criptográficas.
He votado erronea esta noticia porque realmente no ha se filtrado ninguna clave. Según el paper que cita el articulo, lo que sucede es que muchos usuarios publican sin querer tokens de acceso a diversos servicios y aunque estos tokens son eliminados posteriormente, gracias a la naturaleza de un sistema de control versiones los token pueden sen encontrados automáticamente en el historial usando ciertos patrones y algoritmos explicados en el paper.
Si tienes un proyecto público en GitHub y nunca ni siquiera de forma erronea has publicando una clave o token de acceso, entonces no tienes nada que temer. Si este no es tu caso lo que debes hacer es simplemente eliminar totalmente el repositorio y volver a subir tu proyecto a una nuevo desde el ultimo "HEAD" y luego cambiar o renovar los token de acceso.
#3 También hablan de llaves criptográficas (y de que muchos borraron los datos solo una hora después de la filtración):
The team said that six percent of the API and cryptographic keys they've tracked were removed within an hour after they leaked, suggesting that these GitHub owners realized their mistake right away.
Mira:
Last, but not least, researchers also found 7,280 RSA keys inside OpenVPN config files
#3 Yo modificaría el titulo por algo así como: "Se han encontrado claves privadas en más de 10.000 repositorios de GitHub".
Ya sé que el titulo se ha traducido directamente del Inglés, pero incluso los gente que escribe artículos en los medios no lo hacen correctamente o simplemente utilizan titulares que son carne de "Clickbait".
Entiendo que se refieren a que hay proyectos en github en cuyo código publicado aparecen claves API de forma explícita, de manera que el programa funcione sin que quien lo descarga deba obtener la suya propia.
Un ejemplo de ello es la herramienta gmvault1, que permite hacer copias de seguridad de correos de Gmail. El autor al parecer utilizó su propia clave API para publicarla con el código de forma que facilitase el trabajo a quienes lo descargasen, eso puede suponer un riesgo para la seguridad y además a Google no le gusta, por lo que esta aplicación dejará de funcionar a finales del mes vigente.
Se requerirá algún cambio en la aplicación para que cada cual se genere su clave API y la introduzca en su copia de la aplicación.
Y como este caso entiendo que habrá esos 100.000 respositorios cada cual por sus motivos.
Comentarios
He votado erronea esta noticia porque realmente no ha se filtrado ninguna clave. Según el paper que cita el articulo, lo que sucede es que muchos usuarios publican sin querer tokens de acceso a diversos servicios y aunque estos tokens son eliminados posteriormente, gracias a la naturaleza de un sistema de control versiones los token pueden sen encontrados automáticamente en el historial usando ciertos patrones y algoritmos explicados en el paper.
Si tienes un proyecto público en GitHub y nunca ni siquiera de forma erronea has publicando una clave o token de acceso, entonces no tienes nada que temer. Si este no es tu caso lo que debes hacer es simplemente eliminar totalmente el repositorio y volver a subir tu proyecto a una nuevo desde el ultimo "HEAD" y luego cambiar o renovar los token de acceso.
#3 También hablan de llaves criptográficas (y de que muchos borraron los datos solo una hora después de la filtración):
The team said that six percent of the API and cryptographic keys they've tracked were removed within an hour after they leaked, suggesting that these GitHub owners realized their mistake right away.
Mira:
Last, but not least, researchers also found 7,280 RSA keys inside OpenVPN config files
#3 Yo modificaría el titulo por algo así como: "Se han encontrado claves privadas en más de 10.000 repositorios de GitHub".
Ya sé que el titulo se ha traducido directamente del Inglés, pero incluso los gente que escribe artículos en los medios no lo hacen correctamente o simplemente utilizan titulares que son carne de "Clickbait".
#5 Pues sí, debería modificarse para poner lo que dices o incluir el api or original y dejar 100.000
Entiendo que se refieren a que hay proyectos en github en cuyo código publicado aparecen claves API de forma explícita, de manera que el programa funcione sin que quien lo descarga deba obtener la suya propia.
Un ejemplo de ello es la herramienta gmvault1, que permite hacer copias de seguridad de correos de Gmail. El autor al parecer utilizó su propia clave API para publicarla con el código de forma que facilitase el trabajo a quienes lo descargasen, eso puede suponer un riesgo para la seguridad y además a Google no le gusta, por lo que esta aplicación dejará de funcionar a finales del mes vigente.
Se requerirá algún cambio en la aplicación para que cada cual se genere su clave API y la introduzca en su copia de la aplicación.
Y como este caso entiendo que habrá esos 100.000 respositorios cada cual por sus motivos.
1 https://github.com/gaubert/gmvault
A quien se le ocurre meter en un repositorio de codigo fuente publico unas claves privadas
#2 A cualquier humano, ya que los humanos cometen errores.
#7 Es más, pueden haberse dado cuenta y haberlas eliminado, pero siempre quedan en el histórico.