Leak de credenciales en tiempo real

 

leak de credenciales

Existen en la red herramientas de monitorización de repositorios públicos de código fuente. Estas herramientas están “al acecho” monitorizando palabras clave tales como “password”, “secret”, “key” y similares en busca de usuarios descuidados  que suben credenciales o datos sensibles a sus repositorios. Un ejemplo de ellos es esta herramienta:

https://github.com/hisxo/gitGraber

También las hay con versión web online que monitorizan en tiempo real como es el caso de la siguiente herramienta. Al abrir dicho enlace y dejarlo abierto unos minutos, enseguida comenzamos a ver la cantidad de “commits” con datos sensibles que realiza la gente inconscientemente en sus repositorios de Github. Esta herramienta es en mi opinión sencillamente BRUTAL:

https://shhgit.darkport.co.uk/

Una vez más, nos damos cuenta de la importancia de las buenas prácticas a la hora de programar.​ JAMÁS se deben subir credenciales, nuestras “api keys” o similares a un repositorio de código y menos público. Aunque no lo creamos, siempre hay alguien observando.

En GMV nos tomamos la seguridad muy en serio y por lo tanto, todos nuestros equipos de desarrollo siguen una metodología que incluye medidas para que esto no suceda. Como referencia rápida, aquí van algunas pinceladas que nos pueden ayudar a no incurrir en errores de este tipo:

  • Los datos sensibles no deben estar en el repositorio por regla general, pero si fuese necesario por cualquier motivo, siempre comprueba la visibilidad de un repositorio antes de hacer un commit que contenga este tipo de datos. Dicho repositorio debe ser privado siempre.
  • Ya sabemos que no se deben dejar credenciales de ningún tipo en el código de una aplicación, pero de hacerlo, no se recomienda poner dichas credenciales en texto plano. Si no quedase más remedio que ponerlas, se deberían utilizar de forma cifrada y que jamás estuviesen en texto plano en el código fuente.
  • Si no estás seguro sobre el commit que vayas a realizar y tienes dudas de si puede tener alguna implicación de seguridad sobre datos sensibles, mejor no lo realices al menos hasta haber consultado con algún manager, jefe de proyecto o cualquier persona que te pueda orientar al respecto.
  • Hay que ser consciente de que en git tras realizar una acción “push”, esos datos quedarán “grabados a fuego” para siempre en el repositorio incluso aunque luego hagamos un “git reset”. Alguien con conocimientos sobre git podrá consultarlos siempre por lo que la única solución tras un incidente de este tipo es o bien borrar el repositorio, o bien cambiar esas contraseñas rápidamente (y no volverlas a subir lógicamente).
  • Ten en cuenta que al subir contraseñas o datos sensibles, estos podrían ser de acceso a un sistema de terceros y se podría incurrir involuntariamente en una infracción de GDPR.

El tratar datos sensibles en el código de las aplicaciones no es tarea fácil. Desde aquí instamos a que cualquier desarrollador, antes de hacer un “commit” que contenga algún tipo de credencial o dato sensible, lo piense dos veces pues es una práctica poco recomendable dependiendo de en qué tipo de repositorio y entorno lo estemos haciendo.

Esta publicación no pretende infundir miedo, simplemente invitar a la reflexión y anima a que se desarrolle de forma segura siguiendo las recomendaciones sobre buenas prácticas a la hora de programar.

 

Autor: Oscar Alfonso Díaz

 

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de GMV
The author’s views are entirely his own and may not reflect the views of GMV
Share
    Etiquetado en:

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

      I accept the privacy policy Acepto la Política de Privacidad

    Basic Data-Protection information:

    Data-protection supervisor: GMV Innovating Solutions SL
    Purpose: Answer questions, respond to user complaints and recommendations, receive job applicants resumes and career information.
    Legitimation: Consent of data subject
    Addresses: Grupo GMV companies
    Rights: Access, rectify and cancel data plus other rights, as explained in additional information
    Additional information: You can check out the additional and detailed data-protection information on our website:Privacy Policy

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    WP-SpamFree by Pole Position Marketing

    706 Total Views