Novo aplicativo verifica o GitHub em busca de segredos, como chaves de criptografia e senhas
Um novo aplicativo, chamado Shhgit, irá verificar o repositório de códigos do GitHub e procurar dados confidenciais, como chaves criptográficas e senhas privadas.
Um novo aplicativo, chamado “Shhgit”, examinará o repositório de códigos do GitHub e procurará dados confidenciais, como chaves criptográficas privadas.
Verificando chaves criptográficas e senhas privadas
Em 17 de outubro, o programador e especialista em segurança, Paul Price, apresentou sua nova ferramenta, o Shhgit. O aplicativo procura segredos nos repositórios de códigos públicos, têm o potencial de causar violações significativas de dados, que por vezes, acabam nas mãos de hackers.
Price disse que encontrar esses segredos potencialmente prejudiciais no GitHub não é novidade. De acordo com o programador, existem inúmeras ferramentas de código aberto disponíveis, como o gitrob e o truggleHog, que buscam “o histórico de confirmação para encontrar tokens secretos de repositórios, usuários ou organizações específicas”.
Price acrescentou que os desenvolvedores de software, que às vezes vazam segredos nos repositórios de códigos públicos, devem garantir que os segredos não acabem com sua base de códigos em primeiro lugar. Price disse, no mínimo, “os arquivos de configuração devem ser minimamente criptografados.”
Embora a verificação de segredos em repositórios de códigos públicos exista desde o lançamento do GitHub, algumas violações recentes de dados, como o hack Capital One, que deixou os dados pessoais de mais de 100 milhões de pessoas expostas, mostram implicações graves de segurança, que podem levar à danos e multas enormes.
Price afirma que sua ferramenta pode ajudar a encontrar segredos acidentalmente cometidos em tempo real, o que deve dar aos desenvolvedores tempo para excluir qualquer informação sensível, antes que os hackers possam usar as informações privadas de qualquer pessoa.
Bitcoin nunca foi hackeado
Em julho, Paige Thompson roubou os dados confidenciais de cerca de 106 milhões de contas de clientes da Capital One e aplicativos de cartão de crédito. O hacker supostamente obteve acesso a 140.000 números da segurança social americana, 1 milhão de números da segurança social Canadense e 80.000 números de contas bancárias, além de dados referentes às pontuações, limites e saldos de crédito dos clientes.