Σύμφωνα με πληροφορίες η ιστοσελίδα GeekedIn διέρρευσε 8 εκατομμύρια λογαριασμοί του GitHub που υπήρχαν σε μια βάση δεδομένων χωρίς ασφάλεια MongoDB. Η ιστοσελίδα αναφέρει ότι διαθέτει τουλάχιστον το ένα τρίτο της βάσης, και είναι πολύ πιθανό να αποτελεί αντικείμενο διαπραγμάτευσης και κάπου αλλού στο διαδίκτυο.
Ο ερευνητής ασφαλείας Troy Hunt ο οποίος διευθύνει την υπηρεσία Have I been Pwned? ανακάλυψε τη βάση που διέρρευσε και το κοινοποίησε στο GitHub.
Μια πρόχειρη ανάλυση του αρχείου αποκάλυψε τελικά ότι:
- Περιέχει 8.200.000 μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, δηλαδή καταγράφει περίπου 8,2 εκατομμύρια χρήστες του GitHub, του Bitbucket και, ενδεχομένως, και από άλλες online υπηρεσίες.
- Τα περισσότερα από αυτά τα αρχεία περιέχουν ονόματα χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, γεωγραφική θέση, επαγγελματικές δεξιότητες, χρόνια επαγγελματικής εμπειρίας.
- Όλες αυτές οι πληροφορίες κυκλοφορούν ήδη στο διαδίκτυο και είναι προσβάσιμες στον καθένα (το GeekedIn δημιούργησε τη δική του βάση δεδομένων, και προσφέρει πρόσβαση επί πληρωμή σε εταιρείες που ενδιαφέρονται για προγραμματιστές)
Το GitHub δήλωσε ότι επιτρέπει σε τρίτους την διάθεση των δεδομένων των χρηστών τους, εφ ‘όσον χρησιμοποιούνται για τον ίδιο σκοπό που τις χρησιμοποιεί και το ίδιο το GitΗub.
“Η χρήση αυτών των πληροφοριών για εμπορικούς σκοπούς παραβιάζει τη δήλωση απορρήτου μας και δεν επιτρέπεται,” δήλωσαν στον Hunt.
Έτσι τελικά κατάφερε να έρθει σε επαφή με το GeekedIn, που αναγνώρισε το λάθος του και υποσχέθηκε να ασφαλίσει τα δεδομένα.
Ο Hunt διέθεσε μερικά από τα δεδομένα σε ακατέργαστη μορφή μέσω της υπηρεσίας του. Συμπεριλαμβάνουν περίπου ένα εκατομμύριο χρήστες του GitΗub.
“Το περιστατικό αυτό δεν οφείλεται σε κάποιου είδους ευπάθεια ασφαλείας του GitHub, και μάλλον σχετίζεται με δεδομένα που υπάρχουν στην ιστοσελίδα τους τα οποία κάποιος κατέγραψε και στη συνέχεια τα εξέθεσε σε άλλη υπηρεσία,” ανέφερε ο Hunt.