Udviklere lækker passwords

Artiklen blev oprindeligt publiceret den 1/2/2013

Når udviklere lægger software ud som open source, glemmer de ofte at fjerne passwords og andre fortrolige oplysninger. Det viser en ny søgefunktion.

Søgefunktionen ligger på webstedet Github, hvor udviklere kan dele kildekode med andre. Da webstedet for nylig forbedrede søgemulighederne, afslørede det hurtigt sikkerhedsproblemer i mange af projekterne.

Sikkerhedsfirmaet Verizon Business har foretaget en række søgninger. Blandt resultaterne fandt de passwords til Gmail, private SSH-nøgler sammen med oplysninger om de servere, de hører til, hemmelige GPG-nøgleringe, brugernavne og passwords til databaser, passwords til websteder, og API-nøgler til en række tjenester.

Desuden kan man med en søgning også finde kode, der anvender usikre kommandoer. Dermed kan en angriber finde frem til potentielt sårbare programmer.

Anbefaling
Udviklere bør gennemgå deres kode for fortrolige oplysninger, før de offentliggør den.

Links