2019年的数据泄漏，裸奔的不只是你的个人信息

在我们使用跟“卡号”相关的关键词进行GitHub搜索的时候，得出了大量的卡号以及对应的密码搜索结果。这里面的卡包括各种购物卡、礼品卡、充值卡、各种平台的会员卡等。里面甚至出现了银行卡卡号和密码，而且密码竟然几乎都是明文密码!

六、API秘钥、云服务器、云数据库泄漏

当然，2019年的数据泄漏，裸奔的不只是你的个人信息，还有各种API秘钥、个人和企业的云服务器秘钥、个人和企业的云数据库地址和密码。

API秘钥泄漏的话，可能被别有用心的人窃用，导致高额的服务费。云服务器、云数据库泄漏的话，可能被别人非法登录，轻则被获取到云服务器、云数据库里存储的个人或企业的全部数据，重则被恶意删库。有时候真的不是黑客太狡猾，而是开发者太大意了。

为了弄清楚开发者开源到GitHub上的各种秘钥泄漏有多严重，来自美国北卡罗莱纳州立大学的一个团队进行了深入的研究，他们使用近六个月的时间(2017年10月31日至2018年4月20日)扫描了GitHub上13%的代码库，总共包含数10亿个代码文件，发现超过10万个代码库泄漏了秘钥，每天有数千个新的秘钥在泄漏。[1]

这些秘钥，来自于Twitter、Facebook、亚马逊、谷歌、YouTube、PayPal等等主流的平台。研究显示，6%的秘钥在上传到GitHub后一小时之内被删除掉，说明只有6%的开发者马上意识到了这个问题并采取了措施。在上传到GitHub 1天之内，只有12%的秘钥被删除掉，16天之内，只有19%的秘钥被删除掉，这说明1天之内没有删除掉的秘钥，基本上都会在GitHub上长期存在，长期公开泄漏。

这说明，绝大部分提交秘钥到GitHub的开发者是并不知道、事后也没有意识到自己把秘钥通过这种方式公开了的。

该研究还把这些秘钥所在的文件拓展名进行了分类，看这些秘钥都藏在哪些类型的文件里。结果表明，超过50%的秘钥都藏在专门用于储存秘钥或者凭证的文件里(如拓展名为。key的文件)，接近30%的秘钥嵌在源代码文件里(如拓展名为。py的文件)，约8%在数据表里(如拓展名为。csv的文件)，约2%在配置文件里(如拓展名为。conf的文件)。

这说明，大部分的秘钥泄漏的原因是把秘钥直接写死在源代码里面。莫非真的应了那句话：最危险的地方就是最安全的地方?

该研究还通过假设检验的方法证明，把秘钥提交到GitHub这种泄密方法，跟开发者自身的经验、GitHub使用时长并无太大关系。也就是说，这是一个新手、老手都可能犯的错误。

由于该研究涉及的主要是美国的企业，那么中国企业的云服务器、云数据库等，是否也被无意中公开泄漏了呢?我们在GitHub通过关键字检索发现，这一情况在我国有过之而无不及，包括阿里云、腾讯云、百度云在内的国内主要云服务提供商，其提供给个人或者其它企业使用的云服务器、云数据库都存在公开泄漏。

要知道，这些公开了主机、端口号、用户名及密码的云数据库，任何人利用这些信息都是可以连接上的，跟裸奔没有区别。一旦被别有用心的人获取到，数据库里面存储的包含企业、客户、用户信息的所有数据表、所有详细的经营数据都会处于危险之中。

这些云数据库在GitHub上的数量可能有多少呢?以MySQL云数据库为例子，我们通过关键字搜索了阿里云、腾讯云、百度云潜在泄漏的MySQL云数据库数量：

最多的是阿里云，存在31128个潜在泄漏的MySQL云数据库。如果按照5%的有效比率保守估计的话，都存在超过1678个个人或者企业的MySQL云数据库存在泄漏!

七、现在能怎么办呢?

看完以上的情况，真是让人不寒而栗。2019年的数据泄漏，个人数据、企业数据都在裸奔，而企业数据里面又可能包含大量的个人数据。那现在能怎么办呢?

Alfred看来，这事儿必须从政府加强数据保护立法、企业加强数据保护制度建设、开发者加强数据安全意识培训、GitHub平台加强提交前敏感信息检测提醒四方面着手。

加强数据保护立法，是从根源上解决数据保护问题的方法。欧盟2018年5月生效的GDPR(《通用数据保护条例》)是一个很好的例子。我国最近颁布的《密码法》也是一个很好的开端。

（编辑：上海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!