製品のリークや脆弱性を検索することは、面白くて便利なだけでなく、必要でもあります。従業員と同じようにぼやけた目を持っていない外部の専門家や愛好家をそのような検索に参加させることはさらに有用です。そのため、かつて、QIWIでバグバウンティプログラムを開始しました。研究者は脆弱性について私たちに手紙を書き、報酬を受け取り、これらの脆弱性を閉じました。
機密情報を含むリポジトリへのリンクの形で、公開されているコードが何度か送信されました。リークの理由は次のとおりです。
開発者は、テスト環境ではなく、「本番」サービスの構成を使用して、自分用のテストコード例を作成しました。
管理者が自動化とデータベース移行のためにスクリプトをアップロードしました-潜在的に機密性の高い情報。
研修生は、危険ではないと信じて、無意識のうちにコードを公開リポジトリに投稿しました。
同時に、そのようなリークは、会社で働いている開発者とすでに辞めた開発者の両方から発生する可能性があります。たとえば、会社で働いていない従業員が、空き時間に家に持ち帰ったオープンリポジトリにコードを投稿した場合があります。一見無害に聞こえますが、そのようなコードの中には、データベース、ネットワーク構成、またはある種のビジネスロジックからのパスワードが含まれている可能性があります。一般に、公開されるべきではない企業の機密情報です。
実践が示すように、ほとんどの企業はすでに外部の脅威から十分に保護されています-そしてそれは最大の害を引き起こす可能性のある内部リークです。さらに、そのようなリークは悪意を持って、そして偶然に発生する可能性があります-そしてこれはまさに私たちが上で言ったことです。
— : Firewall, SOC, IDS/IPS , — . , , — .
. , , .
QIWI Leak-Search — , Github .
— .
, : - , -, , . , — .
, . . -, , .
Leak-Search , , , . Fortune . , , , .
, . -: , , . , - , : , — .
, Leak-Search. “” ERP- — ? - “” IoT- — , ? “ ” — . .
QIWI Leak-Search
— . — , -, — , , . .
, , — , , , , , — .
, — . , - , — , .
. , , , .
Leak-Search , . :
— — smtp, Dockerfile, proxypass, Authorization;
— — com.qiwi.processing.common;
— — int.qiwi.com, 10.4.3.255;
— , — QIWISECRET_KEY, qiwiToken.
, , . - — , .
. , . Open Source: - . .
, , — «» .
StackOverflow — , , . . , , Github. , .
, , , - , , - Github — , . .
, ? , , . , , .
— killer feature . Leak-Search : , . -, . -, , , .
, , open source, , Github, . , Leak-Search “” .
, . Github — Leak-Search Gist. - Pastebin Gitlab, BitBucket. API.
, , — false positive, false negative. , .
“ ” . , , — , .
, Leak-Search . . Leak-Search , — .
, , Leak-Search , “”. — , , , -, .
, . , , . , — .
, , , , , IT, .
- , , — , .