这是一个创建于 865 天前的主题,其中的信息可能已经有所发展或是发生改变。
(莫谈国事单纯讨论一下)
118 条回复 • 2022-07-06 08:55:03 +08:00
 |
1
wbrobot 2022-07-04 09:27:49 +08:00  2
这小哥已经有安全意识了,把配置文件里面改了 xxx, 还说安全起见.
谁知道代码里面有测试注释,哈哈哈哈哈哈, 也可能是被队友坑了 结论:[测试函数尽量另写,不要和主文件写一起; 测试的配置也不要写明文,要写在 test.yaml 里面] |
 |
2
lujiaosama 2022-07-04 09:29:44 +08:00 1
配置信息不单独管理, 硬编码, 出纰漏是迟早的事情. 之前 b 站上有个 up 主就是这样被人泄漏了服务器信息.
|
 |
3
skinny 2022-07-04 09:32:48 +08:00
论安全意识,还有很多直接人把账号密码之类配置文件备份传到 Github 公开仓库的……
|
 |
4
picone 2022-07-04 09:35:12 +08:00 2
- 配置信息单独管理
- 线上 access key 不应该轻易获取到,线下只能用测试环境的 key - 这种项目必须私有部署(内网),如果不是内网的话也需要 IP 限制访问。 access key 写博客只是一个引子,后面暴露了很多安全问题。试想如果是这个人离职后自己抓出来呢? |
 |
5
Soar360 2022-07-04 09:36:10 +08:00 2
就不应该写在代码里。
|
 |
6
leimao 2022-07-04 09:36:42 +08:00 3
Blog repo 应该 private 而不是 public 。
|
 |
8
Mithril 2022-07-04 09:38:30 +08:00 5
整套系统的安全性取决于整个链条上最烂的那一环。
你就算搞成 GDPR 的政策,每次访问都用硬件加密。 也防不住把 ID 写进去的码农。 更别说为什么会给码农生产库 ID 这种事了,这还是出了事的,没写出来但是拿着 ID 的码农还不知道有多少。 没准你的隐私就握在外包公司 200 块一天雇的测试手里。 |
|
9
Soar360 2022-07-04 09:39:32 +08:00 3
又 TMD 不加钱,又 TMD 得卷,爱谁谁吧。
|
 |
10
IGJacklove 2022-07-04 09:41:52 +08:00 via iPhone
泄漏是哪篇博客的问题吗?我看是两年前的文章啊
|
|
11
skinny 2022-07-04 09:43:51 +08:00 4
@iosyyy 这种属于组织管理问题,管理层不重视不懂,对管理层的安全培训和责任处罚不到位,你可以换个行业看安全生产原则就理解了。
|
 |
12
StrongNoodles 2022-07-04 09:45:10 +08:00 2
真的,这么大的事其他地方一点风声没有,这是被限制了吗,掩耳盗铃吗,要知道泄露这么大这么敏感的信息,造成的损失不可估量啊
|
|
13
picone 2022-07-04 09:46:10 +08:00
@iosyyy #7 并不是,正常的环境不应该把人视为安全的,人不应该触碰到这些数据,要假设所有开发者都是坏人。如果密码泄露了就整个没了,那是小作坊。
|
 |
14
yuezk 2022-07-04 09:46:54 +08:00
https://unsafe.sh/go-116043.html
怎么评价?我打赌,类似的事情还会发生。 @skinny #3 现在 GitHub 已经集成了 GitGuardian ,会主动检测代码中的各种 key ,然后提示开发者,这种问题会少一些了。 |
 |
15
SunsetShimmer 2022-07-04 09:49:01 +08:00 1
|
|
16
picone 2022-07-04 09:51:08 +08:00 4
@Soar360 #9 还钱没关系,接受了这个工资就得干活干到位,不接受就自己走。 你希望飞机的机组因为工资给的少然后摆烂随便查查就算了嘛?这个是国内的现状。
|
 |
17
iosyyy OP @SunsetShimmer 就说这个离谱上面图里给外网链接下面给 accessid 绝了
|
 |
19
tairan2006 2022-07-04 10:06:27 +08:00
结论是别写博客,有个屁用:)
|
 |
20
eviladan0s 2022-07-04 10:07:56 +08:00 via iPhone 1
作为网安行业从业者想说:防得住漏洞,但是防不住 xx
|
 |
21
zhuangzhuang1988 2022-07-04 10:09:00 +08:00 1
@tairan2006 同意, 大部分都 helloworld 的 blog 远不如官方文档.
|
 |
22
yaott2020 2022-07-04 10:11:59 +08:00 via Android 1
这真的很暴露某些机关安全意识过于薄弱,这种极其敏感数据直接挂在云上?就算是要挂在云上不应该买条专线专门访问吗?
|
|
24
yaott2020 2022-07-04 10:18:26 +08:00 via Android 1
更可怕的是国内不知道有多少机关是这么干的。。。
|
 |
25
anzu 2022-07-04 10:22:18 +08:00 20
阿里云一直在监控 github 上的代码是否含有 accesskey ,但是估计没想到居然在 csdn 有泄漏。日常被各位鄙视的 csdn 用户这下整了个绝活,笑死。
|
 |
26
LudwigWS 2022-07-04 10:24:00 +08:00 via iPhone 1
这个网站不是被墙了吗,为什么不能谈论
|
 |
28
0x49 2022-07-04 10:29:37 +08:00 1
- boss:有部分开发嫌弃管理权限太死,权限配置麻烦,等等各种花式原因申请用 admin 权限去做开发..简直荒唐..
- 开发:"工资又不加,工期还紧,甲方又不在意这些细节,能节省节省,能偷懒偷懒" |
|
29
Soar360 2022-07-04 10:43:52 +08:00
gov 要是从此不让用 ES 就……
|
 |
30
potatowish 2022-07-04 10:45:17 +08:00 via iPhone
有一个很不好的习惯,喜欢大段大段的注释代码,然后又不删……
在代码中暴露敏感配置是一个原因,编码习惯是另一个原因。 |
 |
31
Mac 2022-07-04 10:46:26 +08:00 4
我想的是 CSDN 是不是要完了?
|
 |
32
component 2022-07-04 10:47:06 +08:00 6
这么重要的东西也外包,烂就是自上而下的,这是我们为何那么卷的根本原因。
|
 |
35
xiangyuecn 2022-07-04 10:59:30 +08:00
2020 年 8 月 26 日,CSDN ,这才叫大隐隐于市啊,说这家伙不是间谍我都不信🐶 把金子晾在外面晒,完全不会缩水,安全的很🐶
|
 |
36
steveway 2022-07-04 11:01:44 +08:00 2
1. 这么重要的数据为什么放外网
2. 一个外包程序员都能拿到如此隐私数据,估计都不知道泄漏多少次了。 |
 |
37
smallyu 2022-07-04 11:04:56 +08:00 6
要是 gov 动手把 csdn 关了多好 🐶
|
 |
38
Silently 2022-07-04 11:06:31 +08:00 via iPhone 4
最近的瓜真是越来越多也越来越大、微博一点水花都没有、冷处理 泄漏就这样白泄漏了 还信息安全呢 上面都烂透了
|
 |
40
hubaq 2022-07-04 11:08:51 +08:00 1
20 年的写了,22 年报出来,理论上 oss-cn-shanghai-shga-d01-a-ops.ga.sh 应该是逻辑隔离,
公安内网是 3.0.0.0/8,6.0.0.0/8,12.0.0.0/8 ,但出问题的时候,解析到 15.x.x.x 了 但估计最近某个地方配置失误导致公网可以访问 |
 |
42
lazyfighter 2022-07-04 11:15:19 +08:00
我比较好奇为什么相关文章 404 了
|
 |
43
icyalala 2022-07-04 11:16:44 +08:00 6
其实本质在于对隐私数据收集得越来越多、对权限下放得越来越多,那数据泄露的概率也越来越大
而且我毫不怀疑有更多数据早就被泄露了,只是没曝光出来 |
 |
44
adoal 2022-07-04 11:26:31 +08:00
生产环境的配置不应该写在代码里
再加强一点,所有配置都不应该写在代码里 再加强一点,服务器软件的配置就不应该写在项目代码 /运行时环境的路径和子路径里,也不提倡写在运行服务器的帐户的家目录里,最好按照操作系统生态的惯例,写在全局配置的空间 |
 |
45
liuidetmks 2022-07-04 11:30:42 +08:00
这种东西有什么值得写博客的。
|
 |
46
Mateverse 2022-07-04 11:32:19 +08:00
一整篇文章,90%的内容都是整个复制下来的代码,复制下来的文字和图片。
这样的文章有什么可写性和可读性。 |
 |
47
felixcode 2022-07-04 11:32:43 +08:00
还是缺乏安全意识,这几行注释看到就应该知道是坐牢级别的。
|
|
48
iosyyy OP @liuidetmks 雀氏文档里写的不比他清楚吗(当然阿里云的文档也是一塌糊涂)
|
 |
49
blessingsi 2022-07-04 11:34:48 +08:00 2
肯定不只是这一个点导致泄露的吧。一是内网问题,二,我也很难想象单纯通过网络下载拖走 20 多个 T 数据,难道一直下载了很久都没人发现吗
|
 |
50
zhongjun96 2022-07-04 11:36:06 +08:00 3
@blessingsi 20 年的文章。2 年 20T 。基本没啥问题。
|
 |
51
imycc 2022-07-04 11:37:59 +08:00
在代码里硬编码账号密码,是不好的行为。就算要调试吧,也应该用调试账号。直接用线上的、权限过大的账号调试就是作死。除非他们正式测试是同一个账号。。那就有点脑溢血了
|
 |
52
yvescheung 2022-07-04 11:40:32 +08:00
这下众生平等了,所有人信息都泄漏等于所有人信息都没泄漏。
|
 |
53
wdssmq 2022-07-04 11:43:48 +08:00
想起一个问题,,Markdown 里怎么用变量?
比如一段命令行代码,我自己复制执行时可以让其中的密码渲染为实际要用的,发博客教程时则变成示例信息。。 |
 |
54
lxzxl 2022-07-04 11:44:31 +08:00
@StrongNoodles #12 损失已经造成了,只能私下处理相关人。不然等于告诉别人,官方证实是真实数据,快去买吧
|
|
55
liuidetmks 2022-07-04 11:56:02 +08:00 1
问个题外话,黑客会再里面删除自己的信息吗?
删了可能会暴露自己。 不删的话自己也受害 |
 |
56
liangkang1436 2022-07-04 11:58:46 +08:00 via Android
@liuidetmks 好问题,我猜不会
|
 |
57
shijingshijing 2022-07-04 12:02:53 +08:00
对普通人最大的影响应该是以后动不动就要刷脸了吧。。。
我先把话说了放这里。 |
|
58
liuidetmks 2022-07-04 12:13:34 +08:00
再问一个,如此大量大数据下载,阿里云没警报吗
|
 |
59
dfgxcvbcv 2022-07-04 12:18:19 +08:00 1
谁说 csdn 没有好东西🐶
|
 |
60
mcone 2022-07-04 12:26:58 +08:00
坐看 csdn 什么时候被铁拳,乌云发来贺电
|
 |
61
dousha99 2022-07-04 12:29:33 +08:00 2
@liuidetmks 我怀疑是小批量一点点地把数据漏干净的,不然也不会花 2 年的时间才爆出来这个问题。现在这个情况是只能怀疑所有人手头都有一份全国居民信息镜像了
|
 |
62
pwrliang 2022-07-04 12:32:19 +08:00
估计过一阵这个数据人手一份了,身份证号也不需要保密了
|
 |
63
wangyzj 2022-07-04 13:20:44 +08:00
为啥这么高权限的东西不做网络隔离
|
 |
65
MonkeyCoder 2022-07-04 13:50:36 +08:00
这数据价值要十个比特币说实话不贵
|
 |
66
BeautifulSoap 2022-07-04 13:55:45 +08:00 8
没想到怎么都整不死的 csdn 会在这上面跌倒,真的希望 csdn 人有事,网站赶紧炸了
还有,大家可以的话尽量告诉身边人一定要注意今后的电信诈骗了。这数据泄漏后,电信诈骗的成功率真的会提升不止一星半点 |
 |
67
proxychains 2022-07-04 13:58:36 +08:00
环境变量吧还是...
|
 |
68
ychost 2022-07-04 14:06:38 +08:00
一般这种连接 OSS 的问题,就不需要发文章,直接用接口就行了
|
 |
69
cat9life 2022-07-04 14:11:23 +08:00
这个也太过于可怕
|
|
70
iosyyy OP 可能是因为获取途径比较简单吧..而且这数据要是全的估计要不了几个月就 free 了
|
|
71
iosyyy OP 1
@MonkeyCoder 可能是因为获取途径比较简单吧..而且这数据要是全的估计要不了几个月就 free 了
|
 |
72
leavelet 2022-07-04 14:35:16 +08:00
这老哥还到处留自己的 qq 邮箱,我只能说,我不懂,但是我大为震撼
|
 |
73
tooroot 2022-07-04 14:40:49 +08:00
网络都是物理隔开的,好奇怎么偷的?现在真假还是未知数吧,样本数量很少,另外也没什么敏感信息(各种渠道已经泄露的差不多了);
如果是真的,报价也太低了 |
|
74
iosyyy OP 1
@tooroot 我个人觉得如果是假的 官老爷们早就跳出来了 报价雀氏太低了..感觉可能是获取途径简单(存疑) 看后续社工库更不更新吧 要是更新肯定就是真的了
|
 |
75
xwcs 2022-07-04 15:18:15 +08:00
只能说这哥们确实是个鬼才,敢把生产代码+accesskey 公开丢到博客上,建议这老哥赶紧买机票跑吧,牢底坐穿的情况了。
|
 |
77
ryd994 2022-07-04 15:43:35 +08:00 via Android
@Mithril 防得住。比如我厂生产环境访问必须用专用的安全工作站,登入只允许智能卡,同时需要另一人审批。部署代码需要走流程由两人审批。
运行所需的密钥有密钥分发服务直接部署到生产服,而且大部分是专用内网,就算密钥泄露也没用。 我大可以把我的密码告诉你,但是你拿去没有任何用。 我们之前测试服在企业内网,没有任何用户数据就纯测试,密码写在内部笔记里。没多久就被安全团队端了。测试服全部没收,清数据后按要求搬到机房里。 |
 |
78
lower 2022-07-04 16:05:31 +08:00 4
大惊小怪,当年 csdn 还明文保存用户密码呢……没被脱裤谁能想到这种技术网站安全竟然如此之低
|
 |
79
laolaowang 2022-07-04 16:07:03 +08:00
哈哈,我还说这是怎么泄露的,原来是这里啊!!! 笑死
|
|
80
liuidetmks 2022-07-04 16:28:11 +08:00 1
@dousha99 不是,看上面有人说,这个数据库以前只能内网访问的,是近期改出问题,造成公网能访问,结果就是这一个窗口期,被人利用了
|
 |
81
SonyIsGuilly 2022-07-04 16:30:58 +08:00 1
@liuidetmks 听说这个早在 2021 年就在黑市上传开了
|
 |
82
yolee599 2022-07-04 16:33:05 +08:00
@StrongNoodles #12 能怎么办,公开说数据是真实的,大家一起骂?还是公开说数据是假的?还不如捂着少一事不如多一事
|
 |
83
linuxyz 2022-07-04 16:38:00 +08:00
access key 居然从不失效,也是让人不能理解,可能也是某云的特色吧。实际上纵然了 hard code access key 到代码里的行为。 真是抄作业都抄不好!
话说前几个月,我司有个外派把他个人的 access key 上传到了 GitHub, (key 会几小时过期) 当天就被 security team 给揪住冻结了所有账户。 原理就是:我司劫持了员工的所有上网浏览,白名单访问 Internet 。 |
 |
84
yyysuo 2022-07-04 16:45:37 +08:00
@liuidetmks 估计是特殊用户,资源不限,不能监控,划到白名单里面的吧。
|
 |
85
qrobot 2022-07-04 16:47:27 +08:00 1
只是希望发布者不要免费,如果只是售价 10BTC 我相信大部分都不会买。
|
|
87
linuxyz 2022-07-04 16:57:46 +08:00
@ngn999 那是必须的,还不止一个。没有 PC 端的配合,是不太容易监控所有网络流量的。SSL/TLS 毕竟也不是白给的。
|
 |
89
codingBug 2022-07-04 17:05:03 +08:00
愿意分享本身是一件好事,但是呢,为了提供正确的配置,这难免会有一些纰漏。
归根结底,难道内网数据流出,都没个运维监控?还不是那群人觉得运维这个岗位没什么用导致的 |
 |
90
R18 2022-07-04 17:11:13 +08:00 1
按照描述还有一个疑点某地如何拥有的 10E 公民数据?全国才 14E 人啊,10E 人都去过某地吗,所以被缓存了?
|
 |
92
tediorelee 2022-07-04 17:19:10 +08:00 1
@R18 因为都是用的同一个大内网吧,10E 我估计是除开了老的小的没有用手机或者什么电子设备的吧
|
 |
94
WeweHave 2022-07-04 17:42:13 +08:00 via iPhone
还有几亿新生儿+没办身份证的?
|
|
95
liuidetmks 2022-07-04 17:49:00 +08:00
@linuxyz 咋个劫持? ssh 也能破?
|
|
96
linuxyz 2022-07-04 18:09:24 +08:00
@liuidetmks 应该是搞了一个类似 VPN 的东西劫持了 PC 的所有外网流量,所有的外网网络流量都走公司的服务器,而且公司在本地强制植入了一个根证书, 所有访问 HTTPS 的流量都是用公司的根证书认证的。实际上一个典型的 man-in-middle 的模式,因此所有的流量都被公司监视。
通过这个模式 SSH 应该也可以搞,但是会被用户发现,只是公司压根就不允许 SSH 外网。 |
 |
97
q1angch0u 2022-07-04 19:04:24 +08:00 via iPhone
“实习生”
|
 |
99
GeruzoniAnsasu 2022-07-04 20:07:37 +08:00 3
|
 |
100
lucays 2022-07-04 20:33:03 +08:00 via Android
有没有法师来分析一下这人要坐多久的牢?
|
Select Language