有问题的内容:我在 Github 上的公共存储库中发现了一个文件,其中包含 100 封电子邮件,其中一些带有密码(如 bcrypt)。
验证:由于我认识其中的几个地址,并且知道相关文件的背景,我确信这些数据是真实的,并且不打算由各自的所有者公开。
宣传:我没有发现任何地方都知道回购的证据。
我应该如何删除文件?这是应该分配 CVE 的东西吗?
有问题的内容:我在 Github 上的公共存储库中发现了一个文件,其中包含 100 封电子邮件,其中一些带有密码(如 bcrypt)。
验证:由于我认识其中的几个地址,并且知道相关文件的背景,我确信这些数据是真实的,并且不打算由各自的所有者公开。
宣传:我没有发现任何地方都知道回购的证据。
我应该如何删除文件?这是应该分配 CVE 的东西吗?
这是不值得 CVE 的日常事件。
听起来在这种情况下,这可能是一个简单的错误,但是以下是您可以采取的有用步骤,或者至少可以考虑在发现凭据的任何情况下。
如果合适,请联系受影响的用户:如果这是公开转储密码的情况,最好的帮助方法是向每个受影响的人发送一封密件抄送电子邮件,让他们知道他们的凭据已被披露,并且他们应该快速更改他们的所有密码,并可能寻找滥用这些凭据的证据。不要复制或重新分发信息,只需发送一个链接到公开暴露的位置或告诉他们网站名称。
联系所有者和服务提供商滥用帐户:同样,如果您知道信息是如何被披露/丢失的,那么联系丢失信息的相关组织肯定会有所帮助,以便他们能够妥善处理。为此,只需发送电子邮件至abuse@company.com并可选择发送至 sales@company.com 或其他公开的联系地址。
在此过程中不要签署任何 NDA 。一些公司使用保密协议来防止披露这是一个丑陋的问题,只是不要这样做。声明您只是将问题通知他们并且不想参与其中。
联系受影响的用户非常有帮助,因为一些组织在联系到此类数据丢失时实际上什么都不做,也从不告诉受影响的用户(取决于它所在的国家/地区,这也可能不会违反任何当地法律)。至少这让用户有机会保护自己免受进一步伤害。
请注意某些密码转储是假的:以下内容不适用于您的具体情况,但请注意,有时人们会在 pastebin.com 等网站上发布虚假的“密码转储”。所以在写你的电子邮件时使用适当的语言“看起来可能发生了一些事情......”。等等...
假设这不是偶然的,您可以礼貌地请求删除信息,但如果密码转储在其他地方公开,则用户可能没有义务删除它(不是您的情况,我只是为其他人提及)。再次,在线转储密码是一种常见的情况,并且有许多网站托管数百万个来自受感染网站的暴露密码。