Una nueva aplicación web, llamada "Shhgit", escaneará el repositorio de código de GitHub basado en la web y buscará secretos delicados, como criptoclaves privadas.
Escaneo de criptoclaves y contraseñas privadas
El 17 de octubre, el programador y experto en seguridad Paul Price presentó su nueva herramienta, Shhgit. Shhgit busca secretos en los repositorios de código público que a veces terminan en manos de malos actores y que, en última instancia, tienen el potencial de causar importantes filtraciones de datos.
Price dijo que encontrar estos secretos potencialmente dañinos en GitHub no es nada nuevo. Según el programador, hay toneladas de herramientas de código abierto disponibles, tales como gitrob y truggleHog, que escarban en "comprometer la historia para encontrar tokens secretos de repositorios específicos, usuarios u organizaciones".
Price agregó que los desarrolladores de software, que a veces a regañadientes filtran secretos a través de los repositorios de código público, deberían asegurarse de que los secretos no terminen en su base de código en primer lugar. Como mínimo, dijo Price, "los archivos de configuración deben ser encriptados con una clave basada en el entorno".
Aunque desde el lanzamiento de GitHub ha existido el escaneo en busca de secretos en los repositorios de código público, algunas brechas de datos recientes, como la del hack a Capital One que dejó expuestos los datos personales de más de 100 millones de personas, muestran graves implicaciones de una seguridad defectuosa que puede dar lugar a daños a la reputación y a enormes multas.
Price afirma que su herramienta puede ayudar a encontrar cualquier secreto accidentalmente comprometido en tiempo real, lo que debería dar a los desarrolladores el tiempo para eliminar cualquier información sensible antes de que los hackers puedan tener un día de campo con la información privada de cualquiera.
Bitcoin nunca ha sido hackeado
En julio, Paige Thompson supuestamente robó los datos confidenciales de alrededor de 106 millones de cuentas de clientes de Capital One y solicitudes de tarjetas de crédito. Al parecer, el hacker tuvo acceso a 140,000 números de la Seguridad Social, 1 millón de números de la Seguridad Social canadiense y 80,000 números de cuentas bancarias, así como a datos relativos a las puntuaciones de crédito, los límites de crédito y los saldos de los clientes.
No dejes de leer:
- Hackers violan el sitio web civil de Johannesburgo exigiendo un rescate en BTC
- Víctima de un caso de cambio de tarjeta SIM de USD 24 millones escribe una carta abierta al presidente de la FCC
- Hombre de California demanda a AT&T por la pérdida de USD 1.8M
- XRP representa más del 50% de todas las criptotransacciones en las últimas 24 horas
- La Ley de Blockchain de Liechtenstein, Cripto Banca e ICOs, Entrevista con el Primer Ministro
- El rápido aumento en el suministro de Tether genera preocupaciones sobre manipulación, contabilidad creativa
- Ejecutivo de Blockchain Capital: Mercados bajistas "soportan cosas", pero BTC tiene potencial "gigantesco"