如何评价把 accesid 写在博客里

这小哥已经有安全意识了,把配置文件里面改了 xxx, 还说安全起见.
谁知道代码里面有测试注释,哈哈哈哈哈哈, 也可能是被队友坑了

结论:[测试函数尽量另写,不要和主文件写一起; 测试的配置也不要写明文,要写在 test.yaml 里面]

配置信息不单独管理, 硬编码, 出纰漏是迟早的事情. 之前 b 站上有个 up 主就是这样被人泄漏了服务器信息.

论安全意识，还有很多直接人把账号密码之类配置文件备份传到 Github 公开仓库的……

- 配置信息单独管理
- 线上 access key 不应该轻易获取到，线下只能用测试环境的 key
- 这种项目必须私有部署（内网），如果不是内网的话也需要 IP 限制访问。

access key 写博客只是一个引子，后面暴露了很多安全问题。试想如果是这个人离职后自己抓出来呢？

就不应该写在代码里。

Blog repo 应该 private 而不是 public 。

@skinny 说实话我觉得个人的账号密码泄漏也就泄露了(毕竟很多个人的账户都没啥大服务器 这种级别的泄漏还是第一次见

整套系统的安全性取决于整个链条上最烂的那一环。
你就算搞成 GDPR 的政策，每次访问都用硬件加密。
也防不住把 ID 写进去的码农。
更别说为什么会给码农生产库 ID 这种事了，这还是出了事的，没写出来但是拿着 ID 的码农还不知道有多少。

没准你的隐私就握在外包公司 200 块一天雇的测试手里。

又 TMD 不加钱，又 TMD 得卷，爱谁谁吧。

泄漏是哪篇博客的问题吗？我看是两年前的文章啊

@iosyyy 这种属于组织管理问题，管理层不重视不懂，对管理层的安全培训和责任处罚不到位，你可以换个行业看安全生产原则就理解了。

真的，这么大的事其他地方一点风声没有，这是被限制了吗，掩耳盗铃吗，要知道泄露这么大这么敏感的信息，造成的损失不可估量啊

@iosyyy #7 并不是，正常的环境不应该把人视为安全的，人不应该触碰到这些数据，要假设所有开发者都是坏人。如果密码泄露了就整个没了，那是小作坊。

https://unsafe.sh/go-116043.html

怎么评价？我打赌，类似的事情还会发生。

@skinny #3 现在 GitHub 已经集成了 GitGuardian ，会主动检测代码中的各种 key ，然后提示开发者，这种问题会少一些了。

@IGJacklove 不能确定，而且原文已 404 https://archive.ph/mP3bh
这个泄露需要同时满足 内网+地址+key

@Soar360 #9 还钱没关系，接受了这个工资就得干活干到位，不接受就自己走。 你希望飞机的机组因为工资给的少然后摆烂随便查查就算了嘛？这个是国内的现状。

@SunsetShimmer 就说这个离谱上面图里给外网链接下面给 accessid 绝了

结论是别写博客，有个屁用：）

作为网安行业从业者想说：防得住漏洞，但是防不住 xx

@tairan2006 同意, 大部分都 helloworld 的 blog 远不如官方文档.

这真的很暴露某些机关安全意识过于薄弱，这种极其敏感数据直接挂在云上？就算是要挂在云上不应该买条专线专门访问吗？

@yaott2020 不仅仅是安全意识的问题，还有追责问题，没有人为此事负责才是最大的问题。

更可怕的是国内不知道有多少机关是这么干的。。。

阿里云一直在监控 github 上的代码是否含有 accesskey ，但是估计没想到居然在 csdn 有泄漏。日常被各位鄙视的 csdn 用户这下整了个绝活，笑死。

这个网站不是被墙了吗，为什么不能谈论

@anzu 可能是没想到真的有人会在 CSDN 上写原创内容。。。

- boss:有部分开发嫌弃管理权限太死,权限配置麻烦,等等各种花式原因申请用 admin 权限去做开发..简直荒唐..
- 开发:"工资又不加,工期还紧,甲方又不在意这些细节,能节省节省,能偷懒偷懒"

gov 要是从此不让用 ES 就……

有一个很不好的习惯，喜欢大段大段的注释代码，然后又不删……

在代码中暴露敏感配置是一个原因，编码习惯是另一个原因。

我想的是 CSDN 是不是要完了？

这么重要的东西也外包，烂就是自上而下的，这是我们为何那么卷的根本原因。

@LudwigWS 因为昨天很多讨论这个事的帖子都被 404 了

@LudwigWS 所以加了一句

2020 年 8 月 26 日，CSDN ，这才叫大隐隐于市啊，说这家伙不是间谍我都不信 把金子晾在外面晒，完全不会缩水，安全的很

1. 这么重要的数据为什么放外网
2. 一个外包程序员都能拿到如此隐私数据，估计都不知道泄漏多少次了。

要是 gov 动手把 csdn 关了多好

最近的瓜真是越来越多也越来越大、微博一点水花都没有、冷处理 泄漏就这样白泄漏了 还信息安全呢 上面都烂透了

@smallyu 雀氏 csdn 赶紧死吧

20 年的写了，22 年报出来，理论上 oss-cn-shanghai-shga-d01-a-ops.ga.sh 应该是逻辑隔离，
公安内网是 3.0.0.0/8,6.0.0.0/8,12.0.0.0/8 ，但出问题的时候，解析到 15.x.x.x 了
但估计最近某个地方配置失误导致公网可以访问

@LudwigWS #26 昨天谈论泄露的帖子都被删了，可以说是墙外有墙

我比较好奇为什么相关文章 404 了

其实本质在于对隐私数据收集得越来越多、对权限下放得越来越多，那数据泄露的概率也越来越大
而且我毫不怀疑有更多数据早就被泄露了，只是没曝光出来

生产环境的配置不应该写在代码里

再加强一点，所有配置都不应该写在代码里

再加强一点，服务器软件的配置就不应该写在项目代码 /运行时环境的路径和子路径里，也不提倡写在运行服务器的帐户的家目录里，最好按照操作系统生态的惯例，写在全局配置的空间

这种东西有什么值得写博客的。

一整篇文章，90%的内容都是整个复制下来的代码，复制下来的文字和图片。

这样的文章有什么可写性和可读性。

还是缺乏安全意识，这几行注释看到就应该知道是坐牢级别的。

@liuidetmks 雀氏文档里写的不比他清楚吗(当然阿里云的文档也是一塌糊涂)

肯定不只是这一个点导致泄露的吧。一是内网问题，二，我也很难想象单纯通过网络下载拖走 20 多个 T 数据，难道一直下载了很久都没人发现吗

@blessingsi 20 年的文章。2 年 20T 。基本没啥问题。

在代码里硬编码账号密码，是不好的行为。就算要调试吧，也应该用调试账号。直接用线上的、权限过大的账号调试就是作死。除非他们正式测试是同一个账号。。那就有点脑溢血了

这下众生平等了，所有人信息都泄漏等于所有人信息都没泄漏。

@StrongNoodles #12 损失已经造成了，只能私下处理相关人。不然等于告诉别人，官方证实是真实数据，快去买吧

问个题外话，黑客会再里面删除自己的信息吗？
删了可能会暴露自己。
不删的话自己也受害

@liuidetmks 好问题，我猜不会

对普通人最大的影响应该是以后动不动就要刷脸了吧。。。

我先把话说了放这里。

再问一个，如此大量大数据下载，阿里云没警报吗

谁说 csdn 没有好东西

坐看 csdn 什么时候被铁拳，乌云发来贺电

@liuidetmks 我怀疑是小批量一点点地把数据漏干净的，不然也不会花 2 年的时间才爆出来这个问题。现在这个情况是只能怀疑所有人手头都有一份全国居民信息镜像了

估计过一阵这个数据人手一份了，身份证号也不需要保密了

为啥这么高权限的东西不做网络隔离

'AccessKeyId= site:csdn.net' [doge]

这数据价值要十个比特币说实话不贵

没想到怎么都整不死的 csdn 会在这上面跌倒，真的希望 csdn 人有事，网站赶紧炸了

还有，大家可以的话尽量告诉身边人一定要注意今后的电信诈骗了。这数据泄漏后，电信诈骗的成功率真的会提升不止一星半点

环境变量吧还是...

这个也太过于可怕

可能是因为获取途径比较简单吧..而且这数据要是全的估计要不了几个月就 free 了

@MonkeyCoder 可能是因为获取途径比较简单吧..而且这数据要是全的估计要不了几个月就 free 了

这老哥还到处留自己的 qq 邮箱，我只能说，我不懂，但是我大为震撼

网络都是物理隔开的，好奇怎么偷的？现在真假还是未知数吧，样本数量很少，另外也没什么敏感信息（各种渠道已经泄露的差不多了）；

如果是真的，报价也太低了

@tooroot 我个人觉得如果是假的 官老爷们早就跳出来了 报价雀氏太低了..感觉可能是获取途径简单(存疑) 看后续社工库更不更新吧 要是更新肯定就是真的了

只能说这哥们确实是个鬼才，敢把生产代码+accesskey 公开丢到博客上，建议这老哥赶紧买机票跑吧，牢底坐穿的情况了。

@tooroot 样本文件都有几百 MB 了，这还算少吗？案情信息别的渠道会有吗？

@Mithril 防得住。比如我厂生产环境访问必须用专用的安全工作站，登入只允许智能卡，同时需要另一人审批。部署代码需要走流程由两人审批。

运行所需的密钥有密钥分发服务直接部署到生产服，而且大部分是专用内网，就算密钥泄露也没用。

我大可以把我的密码告诉你，但是你拿去没有任何用。

我们之前测试服在企业内网，没有任何用户数据就纯测试，密码写在内部笔记里。没多久就被安全团队端了。测试服全部没收，清数据后按要求搬到机房里。

大惊小怪，当年 csdn 还明文保存用户密码呢……没被脱裤谁能想到这种技术网站安全竟然如此之低

哈哈，我还说这是怎么泄露的，原来是这里啊!!! 笑死

@dousha99 不是，看上面有人说，这个数据库以前只能内网访问的，是近期改出问题，造成公网能访问，结果就是这一个窗口期，被人利用了

@liuidetmks 听说这个早在 2021 年就在黑市上传开了

@StrongNoodles #12 能怎么办，公开说数据是真实的，大家一起骂？还是公开说数据是假的？还不如捂着少一事不如多一事

access key 居然从不失效，也是让人不能理解，可能也是某云的特色吧。实际上纵然了 hard code access key 到代码里的行为。 真是抄作业都抄不好！

话说前几个月，我司有个外派把他个人的 access key 上传到了 GitHub, (key 会几小时过期）
当天就被 security team 给揪住冻结了所有账户。
原理就是：我司劫持了员工的所有上网浏览，白名单访问 Internet 。

@liuidetmks 估计是特殊用户，资源不限，不能监控，划到白名单里面的吧。

只是希望发布者不要免费，如果只是售价 10BTC 我相信大部分都不会买。

@linuxyz 是不是在电脑上要求员工装了公司的安全软件(监控软件)?

@ngn999 那是必须的，还不止一个。没有 PC 端的配合，是不太容易监控所有网络流量的。SSL/TLS 毕竟也不是白给的。

@ryd994 “我大可以把我的密码告诉你，但是你拿去没有任何用。” 你这个思想是很危险的，物理攻击、近源攻击。

愿意分享本身是一件好事，但是呢，为了提供正确的配置，这难免会有一些纰漏。

归根结底，难道内网数据流出，都没个运维监控？还不是那群人觉得运维这个岗位没什么用导致的

按照描述还有一个疑点某地如何拥有的 10E 公民数据?全国才 14E 人啊,10E 人都去过某地吗,所以被缓存了?

@codingBug #89 因是人手一份，各自变现
直到一个没有变现渠道的...

@R18 因为都是用的同一个大内网吧，10E 我估计是除开了老的小的没有用手机或者什么电子设备的吧

@R18 死人啥的都算上了吧

还有几亿新生儿+没办身份证的？

@linuxyz 咋个劫持？ ssh 也能破？

@liuidetmks 应该是搞了一个类似 VPN 的东西劫持了 PC 的所有外网流量，所有的外网网络流量都走公司的服务器，而且公司在本地强制植入了一个根证书， 所有访问 HTTPS 的流量都是用公司的根证书认证的。实际上一个典型的 man-in-middle 的模式，因此所有的流量都被公司监视。

通过这个模式 SSH 应该也可以搞，但是会被用户发现，只是公司压根就不允许 SSH 外网。

“实习生”

@q1angch0u 实习生都不会干这种蠢事 太蠢了以至于我不知道怎么形容好

如何评价？

https://github.com/search?q=baidu++authkey&type=code

我的评价是，开源真好

有没有法师来分析一下这人要坐多久的牢？