GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明
2013年1月26日 18:26
GitHubでは23日から新しいコード検索機能が利用できるようになったが、これにより多くのユーザーが秘密鍵やパスワードの格納されたファイルを誤って公開状態にしていることが明らかになったとのこと(The GitHub Blogの記事、HotHardwareの記事、SC Magazineの記事、本家/.)。
ソースコードと秘密鍵などを同じ場所に保存し、そのままGitHubにアップロードしてしまうユーザーも多くいるようで、新しい検索機能でヒットするようになったことから表面化したものとみられる。この話題はTwitterで広まり、Google Chromeのソースコードリポジトリにアクセスするための認証情報とされるものを含め、数多くの検索リンクが投稿された。その後、検索機能が一時的に使用できなくなり、被害の拡大を防ぐためではないかと推測されていたが、GitHubでは今回の件とは無関係だとしている。なお、現在のところ検索結果に秘密鍵などの情報は表示されないようだが、Googleなどのサーチエンジンを使用すれば引き続き検索は可能だ。GitHubは該当するユーザーに対し、個人情報を機密情報をリポジトリから即刻削除してパスワードや秘密鍵などを変更するように求めている。 スラッシュドットのコメントを読む | オープンソースセクション | オープンソース | セキュリティ | 暗号 | デベロッパー | 情報漏洩
関連ストーリー:
中国、GitHubをブロック対象に 2013年01月23日
GitHub 上で公開されているソースコードの半分はライセンス的に問題あり 2012年12月04日
米国企業、電子メールの「全員に返信」を禁止? 2012年11月28日
タリバンの広報担当者、メールのBCCをCCと間違えて送信 2012年11月21日
米 Rackspace、「GitHub が特許侵害をしている」として訴えられる 2012年10月09日
話題の武雄市長、個人情報を流出させる 2012年08月24日
GitHubに脆弱性、第三者が権限のないリポジトリへのアクセス権を取得可能 2012年03月05日
弁護士が被害者女性や裁判員の個人情報を誤って公開、「設定ミス」が原因 2011年12月28日