Ату их, ату!

[gb0]

https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data
Убер слил хацкерам персональные данные 57 миллионов физлиц: 50 миллионов клиентов и 7 миллионов водителей.

https://www.bloomberg.com/news/articles/2017-11-22/uber-sued-for-negligence-after-disclosing-massive-data-breach
Уже подали на них в суд.

Мораль. Не храните паролей в VCS. И к прод серверам тех же логинов/пасов, что к VCS – не используйте.

Update:
http://money.cnn.com/2017/11/22/technology/uber-hack-consequences-cover-up/index.html
http://money.cnn.com/2017/11/21/technology/uber-hacked-2016/index.html

Пока что – они отстегнули хакерам 100к, попали на 20М штрафов в пользу государства, и еще непонятно на сколько денег на иск от пользователей. Не знаю, сколько бы стоила заморочка с раздельным хранением кода и настроек – но кмк – явно дешевле.

Update2: мораль для члена касты ДиВов: cтоит стараться, чтобы у организации – была правильная оценки стоимости инфосека; она слишком часто бывает или заниженной, или завышенной – и плохо и то, и другое.

Comments

[perdakot]

> Не храните паролей в VCS.

В том смысле, что их тоже сольют или что именно так достали данные из убера?

[malobukov]

VCS был закрытый, не публичный. Другое дело что доступ везде должен быть через 2FA, чтоб было недостаточно узнать пароль.

Ну и за то, что тянули больше года с обнародованием утечки можно было бы и оштрафовать посерьёзнее. А то развели Yahoo какое-то.

[gb0]

Нашли их полуприватный гитхаб,подобрали или скомуниздили пароь к гитхабу, в гитхабе нашли логины/пасворды к каким-то виртуалкам на амазоне, хакнули вмки, and it all went from there.

[gb0]

Пароли в VCS  – всеравно не очень хорошая идя.

Делать-то что?

[malobukov]

Где хранить всякие пароли, токены для доступа, сертификаты и прочие секреты? На бумажке в сейфе? А потом каждый раз вводить руками, путаясь и чертыхаясь, в том числе при автоматизированном тестировании? А комбинацию к сейфу где хранить? А если батарейки в замке в сейфе сломаются?

Я просто не встречал нормальной инфраструктуры для этого, а конфигурационные файлы в VCS и зашитые в коде пароли встречал неоднократно.

Re: Делать-то что?

[gb0]

Сейфы, если чего, можно и чисто механическими делать :)

Наоборот, видел много всяких разностей, когда всякие там Local.php, Local.js, Settings_Local.py, Local.xml и тд – хранятся отдельно. В version controle лежит код с частью настроек, какие позволяют приконектится, примером, к тестовой базе с юзером sysdba и паролем masterkey.

Иногда пароли / ключи хранятся в каких-то кейчейнах, реестрах или даже хардверно защищаемых штуках. Не спорю, вот прямо в коде в общем cvs/svn/git/hg/p4 – это очень удобно, но явно не очень хорошо в плане безопасности.

один полупромышленный (дада, на ожидающей вендекапеца маздайке) солюшн из недавновиденных: git+тимсити + msdeploy + файлы, где реальные конектстринги/пароли/токены – хранятся отдельно вне папки с сайтом и стервисами. Доступ к гиту не дает доступа ко всей этой лабуде. Потом все работает как прописанное в *.exe.config / web.config. Полупромышленный (очень даже промышленный per se) – потому что серверов не сотни, а единицы.

Есть варианты и на тему того, что делать в системе, где тазиков, на которых надо прописывать логины и пароли – сотни. Как по мне – это вопрос желания и стоимости инфосека, которая часто или недооценена, или переоценена.

[rampitec]

Я так понял, у них у девов просто были одинаковые логины и пароли на vcs и в продакшн в облаке.

[gb0]

они где-то прочитали как минимум логины в клауд –  видимо, в том самом гите. насчет паролей – ищу какой-то более нормальный disclosure.

Вот что пишет CNN:

Khosrowshahi says hackers accessed the data through a third-party, cloud-based service. According to Bloomberg, they got into Uber's GitHub account, a site many engineers and companies use to store code and track projects. There, hackers found the username and password to access Uber user data stored in an Amazon server.
Jeremiah Grossman, chief of security strategy at security firm SentinelOne, says this was not a sophisticated hack. Companies frequently accidentally keep credentials in source code that is uploaded to GitHub, he said.


Это больше похоже на то, что хранили и логины, и пароли.

Про сейфы

[malobukov]

Чисто механические сейфы давно не имеют смысла. Даже к качественному механическому замку Sargeant&Greenleaf комбинация подбирается грубой силой с помощью нехитрой приспособы, состоящей из шагового движка с присосками, под управлением компьютера. К замку попроще вроде Simplex комбинация подбирается вообще вручную по табличке, которую оптимизировали и опубликовали уже лет двадцать назад. У ключей свои проблемы, даже в хвалёных Abloy и Masterlock нашли уязвимости, толковый домушник любой заводской сейф средней руки открывает легко. Поэтому нонче замки на сейфах электронные.

Но проблема даже не в этом, а в том, что предполагается удалённая работа. Как сотрудник из Бангалора выкатит обновление сервиса, если все пароли в сейфе в головном офисе в Сан-Франциско?

Поэтому и приходится держать пароли и конфигурацию в VCS. Может быть не в том же самом VCS, где код, и с другими правами доступа, но проблемы-то те же.

[rampitec]

Да, пожалуй.

Re: Про сейфы

[gb0]

Ну, не из Бангалора – но выкатывают. В папке, куда деплоится ап сотрудником из не бангалора – нет никаких настроек, в принципе. Видел такого довольно много, хотя это и явно больший гемор, чем пароли в VCSe. И потом – за то, на что уже попал убер (и попадет эквифакс) – можно было бы привезти этого самого пресловутого сотрудника из бангалора.

Принципиальной разницы между 2FA, конструкцией, в которой есть электронный+механический замок, и раздельными сборки/vcs и пасами от прода – кмк, нет.

А насчет чисто механических замков...черт его знает. Для кучи applications – наверняка неактуально. That said, guaranteed safety – всеравно миф, а вот севшая батарейка в сейфе – не очень. И да, замок на сейфе – важный элемент безопасности, но вряд ли – ее основа.

Re: Делать-то что?

[euthanasepam]

В уме, в голове. Пароль на то и пароль. Ну или не жалуйтесь, когда вас ломают.

Не годится

[malobukov]

Я могу запомнить может быть один криптографически стойкий пароль, для банка. И совершенно не хочу его набирать каждый раз. А вот брелок для 2FA с собой носить могу.

[euthanasepam]

Понятно.

Криптография здесь совершенно ни при чём.

Вы программист, насколько я понимаю? Какие программы вы пишете или написали самостоятельно или в сотрудничестве с другими людьми со слабой памятью?

(Мне для пометки этого ПО как заведомо уязвимого по причине unsecure by concept.)

Ну что вы

[malobukov]

Как же я могу быть программистом с такой плохой памятью. Программисты легко запоминают сотню-другую стойких паролей и меняют их каждый месяц, а мне приходится пользоваться всякими техническими средствами вроде двухфакторной аутентификации, diceware и Keychain.

[euthanasepam]

Так что написали-то? Просто назовите и я о вас навсегда забуду.

Демонически хохоча

[malobukov]

Это я забуду, а вы — нет. Таких, как я, много, от всех всё равно не спрятаться.

[euthanasepam]

Именно так. Потом за такими, как вы, приходится поднимать из пепла дымящиеся руины и устранять последствия со множеством нулей. Неужели так сложно ответить на простой вопрос? Можно в приват. Чего-то или кого-то боитесь? Уже есть за вами грехи? Я же всё равно узнаю, вот не отходя от клавиатуры. :)

[euthanasepam]

Вот чувак пишет про бессмысленные сейфы, проблемы ключей и комбинаций, удалёнку из Бангалора, ага-ага, и пароли (внезапно!) в VCS. Вот что нам, потребителям ПО, с ними делать? Они же не ведают, что творят…