Uber數據庫泄露全是程序員的錯！在GitHub公開數據庫訪問密匙

著名打車公司 Uber 于去年 9 月發現 Uber 的一處數據庫出現數據泄露，而這一事故發生于去年 5 月。經過調查發現，Uber 解鎖數據庫的安全密鑰被存儲在 GitHub 的一個可以公開訪問的頁面，外媒稱這是“In major goof”（超級傻瓜）的失誤。

當然，這不是最最最最傻瓜的，數據庫在去年 5 月份就被盜取，直到 9 月份才被 Uber 發現，今年 2 月才對外公布；外媒稱這是不能忍受的超級失誤。

不過，這種因為低級失誤，將密匙，敏感信息上傳到 GitHub 公開頁面的事件，也不是 Uber 才有。比如你可以在 GitHub 上使用關鍵字：“extension:key BEGIN RSA PRIVATE KEY”搜索，你會發現有很多人將私有密匙上傳到了 GitHub 公開頁面上（如下圖所示），雖然大多數無內容，不過還是有很多具有內容的密匙。搜索結果高達 5W 多條。

這種傻瓜低級失誤，泄露密匙本來可以避免，當然前提還是自己要小心，畢竟網上已經有人專門撰寫文章教人如何從 GitHub 尋找敏感信息。而且前段時間，還發生過有人不小心把自己的 S3 API Key 放進 GitHub，然后被盜用之后收到一張 $2375 的賬單。還是提醒大家，千萬管好自己的敏感信息，不要隨便把未經審查的東西上傳到 GitHub 的頁面，特別是公開頁面。