Uber数据黑客暴露了软件存储服务的可靠性

Uber Technologies inc. 的数据泄露为使用第三方服务存储和共享代码的软件开发人员提供了一个教训: 请注意共享内容。开发人员使用诸如旧金山的Github Inc，GitLab和SourceForge之类的服务来协作项目，跟踪代码中的错误并分发应用程序的早期版本。他们也是网络窃贼的目标。

黑客进入Github的密码保护区后，Uber失去了5700万客户和司机的记录，Github是世界上最受欢迎的代码仓库之一。以前也发生过。网络安全公司Malwarebytes inc. 的分析师克里斯·博伊德 (Chris Boyd) 表示: “代码储存库可能会非常成问题。”当开发人员离开时，许多公司在删除这些存储服务的登录详细信息方面进展缓慢。

本月早些时候，一位安全研究人员发现，中国无人机制造商SZ DJI Technology Co的软件开发人员将其Amazon Web Services cloud帐户和公司所有网站的私钥留在了Github上公开发布的代码中。2014年，黑客发现Uber开发人员在Github上公开发布的代码中留下了一个登录密钥，导致50,000 Uber驱动程序的数据被盗。乘车公司起诉Github 2015年，迫使其交出有关可能访问了该代码起源的网站的用户的信息。

使用别名EdOverflow的安全研究人员埃德温·富迪尔 (Edwin Foudil) 表示，许多公司错误地将密码和私钥包含在他们发布在存储服务上的代码中。“它非常普遍，” Foudil说，并补充说，一些开发人员认为他们的代码在密码保护区域中时是安全的。“他们依赖于存储库是私有的，但这是不好的做法。”他解释说，寻找漏洞的黑客通常会扫描公开发布到Github的代码，以获取开发人员可以看到的密码和私人加密密钥。

当被问及最新的Uber违规事件时，Github拒绝对inpidual帐户发表评论。它说，它建议用户 “永远不要在代码中存储访问令牌、密码或其他身份验证或加密密钥。”如果开发人员必须包含此类项目，则应使用额外的安全程序 “以防止未经授权的访问或滥用”。18F是一群帮助为美国政府构建软件的程序员，他们使用Github共享代码，但要求其开发人员运行一款软件，该软件在允许代码发布之前会扫描代码中的密码和密钥。

但是，这些工具通常会产生 “误报”-误以为密码或密钥是无辜的代码，Foudil说。安全研究人员补充说，他发现18F上传的代码仍然包含应该删除的信息。他说，在将人类代码审查上传到Github之类的服务之前，没有其他方法可以替代。Uber黑客不太可能停止使用代码共享服务。许多公司求助于这些存储库，在经常分布在全球的编程团队之间存储和共享代码。这些站点可帮助公司控制其程序员正在使用的软件版本。

为web应用程序进行渗透测试的荷兰安全专家Sjoerd Langkemper表示，仍然有充分的理由使用此类站点。他说: “将代码存储在私人GitHub存储库中就像将文档存储在Google云端硬盘中一样: 它比将它们存储在硬盘驱动器上更加不安全，但对许多人来说，好处超过了额外的风险。”