¿Existe una posible vulnerabilidad para exponer públicamente el nombre de usuario y el nombre de servidor de inicio de sesión en un repositorio público de Github?

5

Tenemos un servidor de integración continua, para el cual un compañero de trabajo reciente que se unió al equipo ha puesto detalles (nombre de inicio de sesión y dirección del servidor) en su repositorio público de Github.

La configuración del servidor ssh solo permite la autenticación de clave pública y el compañero de trabajo se niega a quitar su información del repositorio público de Github, diciendo que no es una amenaza porque la seguridad de ssh es lo suficientemente buena.

Sé que, dado que hemos deshabilitado la autenticación de contraseña, no se traduce de inmediato en una vulnerabilidad, pero aún así no quería dar a un adversario potencial la siguiente información:

  • El nombre de usuario de inicio de sesión en nuestro servidor CI
  • La ip del servidor CI en sí misma
  • El hecho de que un compañero de trabajo esté utilizando lastpass para almacenar sus claves secretas
  • El hecho de que ha publicado su dirección de inicio de sesión de último paso en su propio repositorio público

(El repositorio público es básicamente el repositorio de configuración que utiliza para configurar su máquina).

Como se negó a quitar la información, me propuse al menos asegurarme de que nuestro servidor de CI esté detrás de un servidor VPN y lo hemos hecho. Sin embargo, sigo creyendo que es una violación de la seguridad en profundidad proporcionar esta información a un atacante.

¿Estoy siendo extra paranoico o podría haber consecuencias reales de tener esta información disponible públicamente? Soy consciente de que parte de esto es seguridad a través de la oscuridad, pero creo que de todos modos no haría daño esconder esta información. Supongo que podría ser útil en caso de un ataque dirigido, ya que le da al atacante información a la que probablemente no tuvo acceso.

    
pregunta Sec Noob 28.08.2016 - 12:51
fuente

1 respuesta

4

No estás siendo paranoico. Obtener información interna como nombres de usuario y contraseñas es parte de la recopilación de información que se realiza antes de entrar en los sistemas. Y especialmente con los nombres de usuario y las contraseñas, es común (pero no se recomienda) usar el mismo nombre o contraseñas similares para proteger otros recursos, por lo que son información valiosa.

Pero aparte de eso, es difícil recuperar esa información publicada. La información todavía está en el repositorio de git, incluso si no están en la HEAD actual. Por lo tanto, al menos debe asegurarse de que ninguna de estas informaciones o variaciones de estas estén en uso en ninguno de sus sistemas.

    
respondido por el Steffen Ullrich 28.08.2016 - 13:00
fuente

Lea otras preguntas en las etiquetas