付费用户容易被宠坏了
密码泄漏到 GitHub,会发生什么?
https://threadreaderapp.com/thread/1324360905237372929.html
几天前,我做了一个小实验,故意生成了一个假的 AWS 密钥,将其提交到公共存储库,看看会发生什么。
我先向 GitHub 推送。
- 15:27,我推送了带有密钥的提交。
- 15:34(7分钟后),我收到了 @GitGuardian 的电子邮件,通知我可能有密钥泄漏。
- 15:38(11分钟后),有人开始拿这个密钥入侵我的账户。
接下来的2小时内,我又收到了5条警报,分别来自德国、荷兰、英国和乌克兰。根据 User-Agent,入侵的脚本机器人使用 Python 和 Node.js SDK。
接着,我又向 GitLab 推送。
- 16:24,我推送了带有密钥的提交。
- 17:26(62分钟后),第一次入侵来自法国。根据 User-Agent,入侵脚本使用了 Python SDK。
我没有从 GitLab 收到任何提醒或警告。我知道 GitLab 确实提供了此功能,可悲的是,它们仅适用于付费用户。
结论:
1. 入侵者对 GitHub 的扫描多于 GitLab 。
2. 如果使用 GitHub,则应使用 @GitGuardian。
3. 如果使用 GitLab,最好升级到付费用户。
几天前,我做了一个小实验,故意生成了一个假的 AWS 密钥,将其提交到公共存储库,看看会发生什么。
我先向 GitHub 推送。
- 15:27,我推送了带有密钥的提交。
- 15:34(7分钟后),我收到了 @GitGuardian 的电子邮件,通知我可能有密钥泄漏。
- 15:38(11分钟后),有人开始拿这个密钥入侵我的账户。
接下来的2小时内,我又收到了5条警报,分别来自德国、荷兰、英国和乌克兰。根据 User-Agent,入侵的脚本机器人使用 Python 和 Node.js SDK。
接着,我又向 GitLab 推送。
- 16:24,我推送了带有密钥的提交。
- 17:26(62分钟后),第一次入侵来自法国。根据 User-Agent,入侵脚本使用了 Python SDK。
我没有从 GitLab 收到任何提醒或警告。我知道 GitLab 确实提供了此功能,可悲的是,它们仅适用于付费用户。
结论:
1. 入侵者对 GitHub 的扫描多于 GitLab 。
2. 如果使用 GitHub,则应使用 @GitGuardian。
3. 如果使用 GitLab,最好升级到付费用户。
登录 或 注册 后可回复。
