Сайт GeekedIn, специализирующийся на подборе ИТ-персонала, собрал данные о 8 млн пользователей GitHub и оставил их в открытом доступе в виде незащищенной БД MongoDB. Известно, что копию базы уже скачала по крайней мере одна сторонняя компания, и сейчас данные, очевидно, продаются онлайн.

В результате утечки также пострадал известный ИБ-исследователь Трой Хант (Troy Hunt), владелец сайта об утечках «Have I been Pwned?». Он незамедлительно сообщил об инциденте в GitHub.

По данным Ханта, в открытый доступ утекло около 8,2 млн email-адресов, привязанных к профилям GitHub, Bitbucket и, возможно, других сервисов. Кроме адресов электронной почты скомпрометированы реальные имена и ники пользователей, сведения о местонахождении, профессиональных навыках и опыте работы.

В GeekedIn прокомментировали, что эти данные и так находились в открытом доступе, поэтому компания собрала их и создала собственную базу данных, которую предоставляет для поиска разработчиков за отдельную плату. В свою очередь в GitHub признали, что позволяют осуществлять сбор данных о пользователях третьим компаниям, если эти данные будут использоваться в строгом соответствии с разрешением пользователей и на тех же основаниях, на которых они предоставили информацию GitHub. Таким образом, использование собранных данных с целью наживы нарушает соглашение о конфиденциальности пользователей. В GeekedIn сказали, что признают ответственность за инцидент и обещают обеспечить безопасность данных.

Хант настроил поиск по утекшим данным в рамках своего сервиса, но он доступен только примерно 1 млн пользователей GitHub, чьи email-адреса были открыты.

Категории: Уязвимости