Ein Sicherheitsforscher hat in Github-Repos mehrerer Fortune-500-Unternehmen Token und Zugangsdaten entdeckt, die eigentlich längst gelöscht waren.
Den meisten Github-Nutzern dürfte bekannt sein, dass sich gelöschte Dateien in einem Code-Repository schnell wiederherstellen lassen. Das ist beabsichtigt, damit Änderungen jederzeit rückgängig gemacht werden können. Dadurch ist es dem Sicherheitsforscher Sharon Brizinov gelungen, zahlreiche API-Keys, Token und Anmeldedaten aus öffentlichen Github-Repos abzugreifen und sich mehrere Bug Bounties zu sichern.
Erstens das und zweitens warum ändert man die nicht wenn die einmal öffentlich waren?
Dafür muss es erstmal jemandem auffallen. Dann bräuchte man aber regelmäßige Reviews, eine offene Kultur um best practices zu etablieren und Fehler ohne Angst ansprechen zu können, ausreichend Mitarbeitys und Kapazitäten, regelmäßige Fortbildungen…
Dummheit, Faulheit, oder wollte das nicht zugeben, um das an die richtigen Stellen weiterzuleiten.