Сайт GeekedIn, специализирующийся на подборе ИТ-персонала, собрал данные о 8 млн пользователей GitHub и оставил их в открытом доступе в виде незащищенной БД MongoDB.
Известно, что копию базы уже скачала по крайней мере одна сторонняя компания, и сейчас данные, очевидно, продаются онлайн. В результате утечки также пострадал известный ИБ-исследователь Трой Хант (Troy Hunt), владелец сайта об утечках Have I been Pwned?.
Он незамедлительно сообщил об инциденте в GitHub. По данным Ханта, в открытый доступ утекло около 8,2 email-адресов, привязанных к профилям GitHub, Bitbucket и, возможно, других сервисов. Кроме адресов электронной почты, скомпрометированы реальные имена и ники пользователей, сведения о местонахождении, профессиональных навыках и опыте работы.
В GeekedIn прокомментировали, что эти данные и так находились в открытом доступе, поэтому компания собрала их и создала собственную базу данных, которую предоставляет для поиска разработчиков за отдельную плату.
В свою очередь в GitHub признали, что позволяют осуществлять сбор данных о пользователях третьим компаниям, если эти данные будут использоваться в строгом соответствии с разрешением пользователей и на тех же основаниях, на которых они предоставили информацию GitHub.
Таким образом, использование собранных данных с целью наживы нарушает соглашение о конфиденциальности пользователей. В GeekedIn сказали, что признают ответственность за инцидент и обещают обеспечить безопасность данных. Хант настроил поиск по утекшим данным в рамках своего сервиса, но он доступен только около 1 млн пользователей GitHub, чьи email-адреса были открыты.
Axarhöfði 14,
110 Reykjavik, Iceland