主页 > 资讯 > （要闻）2019年的数据泄漏裸奔的不只是你的个人信息

（要闻）2019年的数据泄漏裸奔的不只是你的个人信息

来源：陕西时报网作者：李子光更新时间：2020-11-13 11:28:01 阅读：

本篇文章4147字，读完约10分钟

？前几天怀疑是“sxpth”，因为网站的程序员直接写了所有考生的信息(包括照片、身份证、准考证号、院校等。)通过硬编码转化为web源代码，导致大量考生信息泄露。该网站后来被发现是一个假的官方网站。但这种“无服务器无服务器”的架构却遭到了程序员的嘲讽，也引起了公众对个人数据泄露的关注。以上虽然是低级错误，但相信大部分稍有水平的程序员都不会犯。然而，由于开发人员缺乏数据安全意识，仍然存在许多数据泄漏，最明显的例子是github。

今年4月22日，大家还记得源代码github的泄露。一些优步57亿司机和乘客泄露数据，至今印象深刻。但是，如果你认为github只是偶尔会因为程序员的粗心大意而泄露一些大公司的源代码或者数据，那你就大错特错了。

为了让大家知道github平台上由于开发者数据安全意识薄弱(往往是无意的)而导致的数据泄露，我们对此做了一些研究，结果令人震惊:你的身份证、地址、电话等个人信息，邮箱账号、密码、银行卡号码等敏感信息，个人或企业数据库，都可能以公开信息的形式在github上裸奔。

首先，什么是github

Github是目前最大的软件源代码托管平台，类似于代码云仓库。简单来说，如果开发者小啊开发一款坦克战游戏，他可以通过github打开这个游戏的源代码，供全世界开发者参考学习。

当然，为了改进这个游戏，全世界的开发者也可以通过github提出自己的修改版本，大家可以一起改进这个游戏。Github由于自身的开源代码共享属性，吸引了4000多万用户，节省了1亿多代码仓库。开源代码共享促进了开发者的学习和交流，已经成为开发者的一大主流价值。人们越来越愿意把自己写好的代码文件提交给github，供他人参考学习。但是在提交的过程中，代码中的一些敏感信息和文件很有可能被无意识地共享了。

（要闻）2019年的数据泄漏裸奔的不只是你的个人信息

二是个人邮箱账号密码泄露

有哪些是开发者不小心分享的东西？最常见的是各种账号和密码，尤其是硬编码写入代码文件的个人邮箱账号密码。这些提交给github平台共享的账号密码，任何人都可以通过关键词搜索获得，相当于直接泄露。

通过在github中的关键词搜索，我们发现包括网易、qq、新浪、gmail、outlook、hotmail、雅虎等各种邮箱的账号和密码。在github平台上被公开泄露。以下是通过关键词搜索在代码文件中找到的主流邮件账号和密码数量:可以看到，单gmail就有1350.9万个，当然这1350.9万个结果中，有的只包含代码文件中的关键词，有的账号对应的密码在被安全意识很强的开发者提交给github之前已经被删除。但如果仅用5%的账户密码有效比率来估算，则有139万个邮箱的账户密码被公开泄露。

（要闻）2019年的数据泄漏裸奔的不只是你的个人信息

第三，个人简历信息泄露

程序员更喜欢修补自己的个人网站，为了获得更好的机会，他们通常会在网站上放自己的介绍或简历。同时，他们中的一些人更喜欢将他们的网站构建代码开源到github。这样，当github搜索与“简历”相关的关键词时，无数程序员的简历数据就会出来。

这些简历不仅包括个人姓名、电话号码、微信号、邮箱，还包括生日、学历、研究生院、工作经历、城市等。虽然很多人认为自己的信息不太可能被别人看到，但是如果是批量获取的话，那么当你接到一个能准确说出你的姓名、生日、经历，并且对你的个人信息了如指掌的销售电话时，不要太惊讶。

4.身份证号码、家庭住址等个人信息泄露

看到这里你可能会想:前两次泄密集中在一些程序员身上，可能跟我们关系不大。等一下，请往下看。

在我们倡导互联网实名制的今天，一些网站在注册时需要填写自己的身份证号码进行实名认证。但是有些网站对个人信息保护的不是很好。当我们使用与“身份证”相关的关键词进行github搜索时，会出现大量包含姓名、身份证号、家庭住址等个人信息的数据表。这些个人信息显然需要严格加密和保护，但已经在开放平台上共享了。类似以上，开源共享的个人信息数据不计其数。除了个人信息，一些数据表通常包括更详细的个人信息。我们在用关键词搜索的时候，也在这些开源文件中发现，大连某知名企业董事长、高管的身份证、住址等个人信息被公开。让我们深入思考。这些涉及个人身份证、家庭住址等敏感信息的数据将向github开放。如果数据持有人是企业，说明部分企业严重缺乏对个人信息数据的管理和保护机制。如果数据持有人是个人，不管数据安全保护意识如何，这些个人数据从何而来也是一个很大的问题。

（要闻）2019年的数据泄漏裸奔的不只是你的个人信息

另一方面，这些可以不小心打开给github的个人信息数据，其实只是个人信息数据中的冰山一角，你可以想象背后的冰山有多大。也许你我提交的个人信息已经在网上多次易手、交易、裸奔。

V.卡号和密码泄露

以上均与个人信息有关。你可能会觉得什么都没有了。反正你的个人信息已经裸奔了，不涉及具体利益。等一下，请往下看。

当我们使用与“卡号”相关的关键词搜索github时，我们得到了大量的卡号和相应的密码搜索结果。这里的卡包括各种购物卡、礼品卡、充值卡、各种平台的会员卡等。甚至还有银行卡号码和密码，密码几乎都是明文密码！不及物动词api密钥、云服务器、云数据库泄露

当然，2019年数据泄露的不仅仅是你的个人信息，还有各种api密钥、个人和企业云服务器密钥、个人和企业云数据库地址和密码。

如果api密钥泄露，可能会被别有用心的人窃取，导致高昂的服务费。如果云服务器和云数据库被泄露，可能会被他人非法登录，但存储在云服务器和云数据库中的个人或企业的所有数据都会被获取，数据库会被恶意删除。有时候不是黑客太狡猾，而是开发者太粗心。

为了搞清楚从开发者到github的各种密钥泄露有多严重，美国北卡罗来纳州立大学的一个团队进行了深入的研究。他们用了近6个月的时间(2017年10月31日至2018年4月20日)扫描了github上13%的代码库，总共包含数十亿个代码文件，发现有超过10万个代码库泄露了密钥，每天都有数千个新的。[1]

这些密钥来自twitter、facebook、Amazon、Google、youtube、paypal等主流平台。研究表明，6%的密钥在上传到github后一小时内被删除，这意味着只有6%的开发者立即意识到了这个问题并采取了措施。上传到github后1天内只删除了12%的密钥，16天内只删除了19%的密钥，说明1天内未删除的密钥基本上在GitHub上存在了很长时间，并被公开泄露了很长时间。这说明大部分向github提交密钥的开发者，事后并不知道或者意识到自己已经用这种方式公开了密钥。

（要闻）2019年的数据泄漏裸奔的不只是你的个人信息

这项研究还对这些密钥所在文件的扩展名称进行了分类，以查看这些密钥隐藏在哪些类型的文件中。结果表明，50%以上的密钥隐藏在专门用于存储密钥或证书的文件中(如命名文件。key)，近30%的密钥嵌入在源代码文件中(如名为。py)，约8%在数据表中(如命名文件。csv)，大约2%在配置文件中(例如名为。这表明大多数密钥泄漏是由直接将密钥写入源代码引起的。是不是最危险的地方就是最安全的地方？

研究还通过假设检验证明，将密钥提交给github与开发者自身经验和github使用时间关系不大。换句话说，这是一个新手或者老手都会犯的错误。

既然这项研究主要涉及美国企业，那么中国企业的云服务器和云数据库是否也在无意中被公开披露了？通过在github中的关键词搜索，我们发现这种情况在国内更为严重。国内各大云服务提供商，包括阿里巴巴云、腾讯云、百度云，都曾公开泄露个人或其他企业提供的云服务器和云数据库。要知道，这些云数据库，公开了主机、端口号、用户名、密码，任何人使用这些信息都可以连接，和裸奔没什么区别。一旦被别有用心的人获得，数据库中存储的所有数据表和详细的业务数据，其中包含企业、客户和用户的信息，都将处于危险之中。

（要闻）2019年的数据泄漏裸奔的不只是你的个人信息

github上可能有多少这样的云数据库？以mysql云数据库为例，通过关键词搜索阿里巴巴云、腾讯云、百度云潜在泄露的mysql云数据库数量:阿里巴巴云最多，潜在泄露的mysql云数据库有31128个。如果按照5%的有效比率保守估计，有超过1678个个人或企业的mysql云数据库泄漏！

七、我现在能做什么？

看了以上情况，真是心寒。随着2019年的数据泄露，个人数据和企业数据正在裸奔，企业数据可能包含大量个人数据。那么我们现在能做什么呢？

阿尔弗雷德认为，这件事必须从四个方面入手:政府加强数据保护立法，企业加强数据保护体系建设，开发商加强数据安全意识培训，github平台加强敏感信息检测和提交前提醒。

加强数据保护立法是从根本上解决数据保护问题的途径。2018年5月生效的Gdpr(通用数据保护条例)就是一个很好的例子。中国最近颁布的《密码法》也是一个良好的开端。

企业需要加强数据保护体系建设，明确数据采集、运营、管理流程及相关权限，对开发人员进行数据安全意识培训。毕竟，2019年7月由ibm security发起的ponemon Institute发布的第七份数据泄露调查报告显示，近50%的数据泄露来自内部。[2]

普通人呢？本文警告大家保护好自己的个人信息，不要为了一时的方便而交易个人信息。

八.声明

本文引用的所有数据或例子都是github上公布的数据。为了防止进一步的数据泄露，我们将所有敏感信息放在马赛克上。阿尔弗雷德数据室没有获得和使用这些密码和密钥，并尽可能通知了相关代码仓库的上传者。

引用

[1] michael meli，et al .它能变得多坏？公共github存储库中秘密泄露的特征。网络和分布式系统安全(ndss)研讨会，2019年。