14:19
3/4/2019

To, że przestałeś korzystać z jakiegoś serwisu nie oznacza, że Twoje dane z niego nie wyciekną. Może się bowiem zdarzyć, że dane osób takich jak Ty znajdą się w kodzie, który następnie trafi do publicznego repozytorium.

W styczniu tego roku Mateusz (imię zmienione) poinformował nas o ciekawym znalezisku na Githubie. Był nim plik, który rozpoczynał się tak…


============GET RATING LOST BY DELETED ACCOUNT======list provided by (...)
DROP TABLE IF EXISTS deleted_account;
SELECT
u.id
,email
,u.rol_name
into temp deleted_account
from odl_global_verticals.vert_services_fixly_odl_users u
where email in
('NIEBEZPIECZNIK_WYKASOWAŁ@o2.pl',
'NIEBEZPIECZNIK_WYKASOWAŁ@wp.pl',
'NIEBEZPIECZNIK_WYKASOWAŁ@interia.pl',
'NIEBEZPIECZNIK_WYKASOWAŁ@gmail.com',
'NIEBEZPIECZNIK_WYKASOWAŁ@poczta.onet.pl',
...

To jest wersja zredagowana, ale w oryginalnym pliku było 1175 adresów e-mail, w tym zarówno adresy “fantazyjne” jak i takie z pełnymi nazwiskami. Na szczęście e-maile nie były połączone z innymi danymi.

Dokładnie tak to wyglądało

 

Mateusz był poważnie zaniepokojony. Z treści pliku wynikało, że był to fragment jakiejś bazy dotyczącej Fixly, czyli należącego do OLX serwisu umożliwiającego kontakt z “fachowcami” ( budowlańcami, instalatorami, ogrodnikami itd.). Nasz Czytelnik zaczął się zastanawiać, czy sytuacja nie dotyczy jeszcze innych repozytoriów i czy gdzieś nie fruwają inne dane Fixly lub OLX-a?

Technicznie… to nie są użytkownicy Fixly

Natychmiast daliśmy znać serwisowi OLX, a niedługo później otrzymaliśmy wyjaśnienia od Pauliny Rezmer, specjalistki ds. PR. Przede wszystkim zapewniła ona, że sytuacja nie wynikała z błędu w produkcie, ale była efektem błędu człowieka.

Dane, o których mowa, to adresy mailowe niepowiązane w żaden sposób z innymi danymi. Zdecydowana większość maili na liście nie pokrywa się z obecną listą użytkowników Fixly (…) Baza została stworzona na potrzeby testów prowadzonych w ubiegłym roku. Była to lista zapytań do bazy a nie lista maili użytkowników, których nie przechowujemy poza produktem. To że znalazły się tam nazwiska wynika z wykluczeń do konkretnego zapytania i to się oczywiście nie powinno wydarzyć. 

Nie uznajemy tego za wyciek danych, a błąd ludzki. Zespół został pouczony, by sprowadzić stan zabezpieczenia wszystkich danych.  Na początku przyszłego tygodnia podejmiemy działania mające na celu upewnienie się, że taka sytuacja się nie powtórzy.

Poza tą oficjalną odpowiedzią usłyszeliśmy jeszcze jedno zdanie, które miało pozostać do naszej wiadomości. Nie wypada nam go przytaczać, ale nawet z treści pliku da się wyczytać to co nam powiedziano. Wyciekły e-maile osób, które przestały korzystać z Fixly.

Zastanawia nas zdanie, że “to nie był wyciek a błąd ludzki”.  Jedno drugiego przecież nie wyklucza, a adresy e-mail mogą mieć charakter danych osobowych np. gdy zawierają imię i nazwisko, a szczególnie jeśli ujawniają imię, nazwisko i firmę. W tym przypadku doszło do niezamierzonego ujawnienia również takich e-maili i wątpimy, by odbyło się to za zgodą osób, których dane dotyczą. Mimo to OLX przekonuje, że… to nie był wyciek ale błąd ludzki.  Ciekawe :).

Zdarza się

Na serwisy takie jak Github nierzadko trafiają fragmenty kodu, w których zawarto dane osobowe lub inne dane poufne (np. hasła, klucze do API). Najczęściej to wypadki przy pracy choć zdarza się też, że ktoś całkiem świadomie wkleja bardziej wrażliwe dane  “na chwilkę, tak żeby nikt nie zdążył zauważyć”. Niestety coś może zostać zauważone szybciej niż można sądzić.

Również inne narzędzia do współpracy mogą sprzyjać wyciekom. W roku 2017 opisywaliśmy przypadek człowieka, który dosłownie prosił by odebrano mu dostęp do repozytorium Nowej Ery. Dopiero po tygodniu się doprosił.

Co robić? Jak żyć?

Pamiętajcie, by co jakiś czas przejrzeć swoje repozytoria kodu pod kątem danych, które mogą być w nich “zahardcodowane” (nie wiemy czy słowniki polszczyzny znają to słowo, ale jest ono w użyciu). Firmy powinny też rozważyć wdrożenie procedur, które przed przekazaniem danych do publicznego repozytorium sprawdzają, czy w danych nie ma informacji o szczególnym znaczeniu.

 

Przeczytaj także:



14 komentarzy

Dodaj komentarz
  1. Jest mały błąd poniżej cytatu. Zamiast “to nie był wyciek ani błąd ludzki” powinno być to nie był wyciek, a błąd ludzki”. Pozdrawiam!

  2. > “zahardcodowane” nie wiemy czy słowniki polszczyzny znają to słowo, ale jest ono w użyciu

    W wikisłowniku jest słowo hardkodować. Wolę wersję spolszczoną z “k” w środku.

  3. w styczniu komentarz, artykuł w kwietniu. zawrotne tempo !

    • Aplikuj na redaktora, troche nas odciazysz :)

  4. To nie jest wyciek tylko włamanie przez portal niebezpiecznik.pl

  5. O tym, że warto oddzielać kod od danych, byli przekonani już konstruktorzy komputera Harvard Mark I. Architektura harwardzka ma się od tego czasu bardzo dobrze :P

  6. “GET RATING LOST BY DELETED ACCOUNT”
    Zgaduję, że może chodzić o opinie na temat serwisu lub polecanych przez niego fachowców.

  7. Czy zespół który miał “sprowadzić” stan zabezpieczenia to zrobił? :D

  8. > ujawniają imię, nazwisko i firmę

    Chwilunia… zgaduję że adresy typu imie.nazwisko@firma.pl? Przecież one w 99% przypadków są i tak publiczne (strony kontaktowe firm, newslettery działów, oferty komercyjne itp.) a te skrzynki nie należą zresztą do pracowników, tylko do firmy i jak na nie zacznie przychodzić spam, to firma będzie się głowić jak się go pozbyć, a nie szeregowa Aśka z księgowości.

    • Zwróć proszę uwagę na “karę PUODO” z tamtego tygodnia (drobny milion złociszy), za obróbkę danych, było nie było, firmowych i publicznych. A emaile są danymi osobowymi od hohoooo lat, nie tylko od czasów RODO, kropka.

  9. “na chwilkę, tak żeby nikt nie zdążył zauważyć”

    Z wklejaniem wrażliwszych rzeczy czy poświadczeń na VCSy jest większe ryzyko, wynikające przede wszystkim z tego, co to w ogóle jest VCS. Akurat Github i inne “gitowe” są pod tym względem w miarę ogarnialne (git push –force z nadpisaniem historii na originie po wymazaniu jej za feralny commit), ale w bardziej “atomowych” VCSach, często centralnych – jak na przykład SVN – wymazanie commita z serwera graniczy z wydarciem bloku z blockchaina, a jeszcze mocniej jak się na tym jeszcze inne zmiany nastackują. VCSy z definicji przechowują każdą zmianę i do każdej można wrócić :)

  10. Ciekawa sprawa. Pomijając już niedorzeczność rozgraniczania przez OLX wycieku danych od błędu ludzkiego, chcę podpowiedzieć, że dla rozwiązań komercyjnych GitHub.com posiada prywatne konta, do których dostęp może być zablokowany dla osób trzecich. Firma taka jak OLX mogłaby też po prostu wymusić korzystanie z “self-hosted” GitLab czy leciutkiego Gitea. Autoryzowany dostęp minimalizuje ryzyko ujawnienia wrażliwych danych (choćby projekt był Open Source).
    Niestety, początkujący programiści uczący się na tutorialach z YouTube nie są przestrzegani przed “otwartością” GitHub (i innych serwisów), sam jestem tego przykładem.

  11. No tak. Przeciez kazdy jak sie urodzil to znal angielski tylko …. zapomnial dlatego uczyli nas polskiego

Odpowiadasz na komentarz Rumcjas

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: