Encontré correos electrónicos y contraseñas en github, ¿qué debo hacer?

9

Contenido en cuestión: encontré un archivo en un repositorio público en Github que contiene unos 100 correos electrónicos, algunos de ellos con una contraseña (como bcrypt).

Verificación: Como reconozco varias de las direcciones y conozco los antecedentes del archivo en cuestión, estoy seguro de que los datos son auténticos y no están destinados a ser públicos por los respectivos propietarios .

Publicidad: no encontré evidencia de conocimiento del repositorio en ninguna parte.

¿Cómo debo hacer para eliminar el archivo? ¿Es esto algo a lo que debería asignarse un CVE?

    
pregunta mafu 07.05.2016 - 23:11
fuente

1 respuesta

8

Este es un evento cotidiano que no es digno de un CVE.

Parece que en este caso podría ser un simple error, sin embargo, los siguientes son pasos útiles que puede tomar o al menos considerar para cualquier situación en la que se hayan descubierto credenciales.

Póngase en contacto con los usuarios afectados si corresponde: La mejor manera de ayudar si se tratara de un volcado público de contraseñas sería enviar un solo correo electrónico de BCC a cada una de las personas afectadas, permitiéndoles saber que sus credenciales han sido reveladas y que deben cambiar rápidamente todas sus contraseñas y posiblemente buscar evidencia de abuso de estas credenciales. No copie la información ni la redistribuya, simplemente envíe un enlace al lugar donde se expuso públicamente o dígales el nombre del sitio.

Póngase en contacto con el propietario y las cuentas de abuso del proveedor de servicios: Del mismo modo, si sabe cómo se reveló / perdió la información, definitivamente sería útil ponerse en contacto con las organizaciones involucradas que perdieron la información, por lo que Ellos pueden manejarlo apropiadamente. Para hacer esto, simplemente envíe un correo electrónico a abuse@company.com y, opcionalmente, a sales@company.com u otra dirección de contacto publicada.

No firme ningún NDA en este proceso. Algunas compañías usan NDA para evitar la divulgación, es un problema feo, simplemente no lo hagas. Indique que solo les está notificando el problema y no quiere involucrarse.

Ponerse en contacto con los usuarios afectados es muy útil simplemente porque algunas organizaciones cuando se contactan por la pérdida de dichos datos literalmente no hacen nada y nunca les dicen a los usuarios afectados (dependiendo del país en el que esté alojado, esto tampoco puede infringir ninguna ley local). Al menos, esto les da a los usuarios la oportunidad de protegerse de daños mayores.

Tenga en cuenta que algunos volcados de contraseñas son falsos: Lo siguiente no se aplica a su situación específica, pero tenga en cuenta que a veces las personas publican falsos "volcados de contraseñas" en sitios como pastebin.com. Así que use el lenguaje apropiado al escribir sus correos electrónicos "Parece que algo pudo haber pasado ...". etc ...

Suponiendo que esto no haya sido accidental, puede solicitar cortésmente que se elimine la información , pero en el caso de un volcado de contraseña, si se hizo pública en otro lugar, el usuario puede no tener la obligación de eliminarla (no su situación solo menciono esto para otros). Una vez más, las contraseñas que se descargan en línea son una ocurrencia común y hay muchos sitios que albergan millones de contraseñas expuestas de sitios comprometidos.

    
respondido por el Trey Blalock 07.05.2016 - 23:33
fuente

Lea otras preguntas en las etiquetas