Passwörter, Secret Keys auf Github veröffentlicht

ai3x

Hallo,

beim stöbern im github Repository eines Users ist mir aufgefallen das dieser User Secret APi Keys sowie sein persönliches Passwort einer Email Adresse bei Ionos inkl. Benutzernamen im Klartext im Code eingebaut und hochgeladen hat.

Ich habe den User bereits persönlich per DM informiert, möchte jedoch nochmal sensibilisieren.
Benutzernamen und Passwörter sollte man immer auslagern und für github zum Upload ausschließen. Und bitte ladet nicht immer alles ungefiltert ins Internet hoch. Das Passwort und die Keys müssen jetzt bei Github rausgenommen werden, ich hoffe der User denkt auch an die History. Ob die API Keys von einer kostenpflichtigen API sind kann ich nicht sagen, man könnte sie jedoch nutzen und im Zweifel enorme Kosten verursachen.
Ganz zu schweigen von dem Missbrauch der Mail Adresse.

Wie macht ihr das?

Syntafin

Meinst du wo man Secrets wie Zugandsdaten zum DWH, Redis, etc aufbewahrt?

ai3x

Ja und wie ihr Keys im Code verstaut wenn ihr was auf Github veröffentlicht.

Syntafin

Environment Datei, die wird dann beim deployen separat angelegt, grob sieht die Default so aus:

Code

APP_NAME=""
APP_ENV=local
APP_KEY=
APP_DEBUG=true
APP_URL=https://localhost.test


LOG_CHANNEL=daily
LOG_DEPRECATIONS_CHANNEL=null
LOG_LEVEL=debug

DB_CONNECTION=pgsql
DB_HOST=127.0.0.1
DB_PORT=5432
DB_DATABASE=

DB_USERNAME=postgres
DB_PASSWORD=""

BROADCAST_DRIVER=redis
CACHE_DRIVER=file
FILESYSTEM_DISK=local
QUEUE_CONNECTION=sync
SESSION_DRIVER=file
SESSION_LIFETIME=120

MEMCACHED_HOST=127.0.0.1

REDIS_HOST=127.0.0.1
REDIS_PASSWORD=null
REDIS_PORT=6379

MAIL_MAILER=smtp
MAIL_HOST=127.0.0.1
MAIL_PORT=1025
MAIL_USERNAME=noreply@localhost.test
MAIL_PASSWORD=null
MAIL_ENCRYPTION=null
MAIL_FROM_ADDRESS=noreply@localhost.test
MAIL_FROM_NAME="${APP_NAME}"

AWS_ACCESS_KEY_ID=
AWS_SECRET_ACCESS_KEY=
AWS_DEFAULT_REGION=eu-central-1
AWS_BUCKET=
AWS_USE_PATH_STYLE_ENDPOINT=false

VITE_AWS_ACCESS_KEY_ID="${AWS_ACCESS_KEY_ID}"
VITE_AWS_SECRET_ACCESS_KEY="${AWS_SECRET_ACCESS_KEY}"
VITE_AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"
VITE_AWS_BUCKET="${AWS_BUCKET}"

PUSHER_APP_ID=
PUSHER_APP_KEY=
PUSHER_APP_SECRET=
PUSHER_HOST=
PUSHER_PORT=443
PUSHER_SCHEME=https
PUSHER_APP_CLUSTER=eu

VITE_PUSHER_APP_KEY="${PUSHER_APP_KEY}"
VITE_PUSHER_HOST="${PUSHER_HOST}"
VITE_PUSHER_PORT="${PUSHER_PORT}"
VITE_PUSHER_SCHEME="${PUSHER_SCHEME}"
VITE_PUSHER_APP_CLUSTER="${PUSHER_APP_CLUSTER}"

OCTANE_SERVER=swoole
OCTANE_HTTPS=true

SCOUT_DRIVER=meilisearch
MEILISEARCH_HOST=http://127.0.0.1:7700
MEILISEARCH_INDEX_NAME=
MEILISEARCH_MASTER_KEY=masterKey

NOVA_LICENSE_KEY=

DEBUGBAR_ENABLED=true
OPENAI_API_KEY=

DISCORD_CLIENT_ID=
DISCORD_CLIENT_SECRET=
DISCORD_REDIRECT=

SENTRY_DSN=

Alles anzeigen

flyingtable07

Syntafin Woher kommt diese Email und wie kann ich dir antworten?

Syntafin

Zitat von flyingtable07

Syntafin Woher kommt diese Email und wie kann ich dir antworten?

Die Mail kommt von Github und wie man darauf antwortet steht doch in der Mail mit drin.

flyingtable07

Zitat von Syntafin

Die Mail kommt von Github und wie man darauf antwortet steht doch in der Mail mit drin.

ups Xd^^

ai3x

Kümmer dich doch mal um die Sachen…Ich kann dein Verhalten schwer nachvollziehen.

martin

Sucht mal nach private ssh keys bei Github... ????

ai3x

Ja er hat sein privates Email Passwort da stehen. In einem anderen Thread schreibt er dann das er nur 2 Passwörter für all seine Accounts nutzt. Schon traurig das wir jetzt Zugang auf alle Daten bei Ihm hätten.

Dann postet er Screenshots mit privaten Namen obwohl er letztens noch Probleme mit einem Datenschützer hatte. Tut mir leid aber manchmal glaube ich wäre es echt besser so jemand würde wirklich mal ne empfindliche Strafe kassieren.

Und das von einem Full Stack Entwickler

Syntafin

Ich hab echt nur nach API Secrets und SQL/Redis etc geschaut... aber NANI?
flyingtable07 ich würde dir AUGENBLICKLICH empfehlen das Repo privat zu schalten und die Sachen zu fixen!

martin

Darauf wird bestimmt genau so gehört, wie auf die Datenschutz-Sachen.

Syntafin

Und die Uploads illegaler Dateien ^^?

flyingtable07

WIe mache ich dass denn auf privat?

Syntafin

https://github.com/PythonSupportForum/MEG-Chat/settings

flyingtable07

Zitat von Syntafin

https://github.com/PythonSupportForum/MEG-Chat/settings

Danke ist jetzt auf Private

Syntafin

Zitat von flyingtable07

Danke ist jetzt auf Private

Du solltest dich evtl. auch um deinen Mail-Account kümmern

flyingtable07

Zitat von Syntafin

Du solltest dich evtl. auch um deinen Mail-Account kümmern

uh stimmt

gamerzhost

@flyingtable07 mir ist klar das Du (ich erinnere mich) erst 16 bist, aber so ein bißchen gesunden Menschenverstand solltest Du auch mit 16 zeigen. Auch das man wie in diesen Thread

Thema

Hilfe - Datenschützer will seine Daten!

Hey,
Ich hab grad eine Email bekommen. War das einer von Euch?

[…]

Ich hätte nie gedacht, dass mich tatsächlich jemals irgenwer nach seinen Daten fragen würde. Ich hab ja mit Sowas noch gar keine Erfahrung, vll kann mir irgendwer von euch sagen, was ich jetzt beachten muss. Soll ich ihm einfach die Datei schicken und gut ist? Die Daten kann ich schnell zusammenstellen.

Das Problem ist aber leider das ich keine Ahnung hab von welcher Website der Typ redet. Ich hab ungefähr 10 Websites wo meine…

flyingtable07

14. Oktober 2023 um 18:12

Komplette Mails mit anderen Personen absichtlich veröffentlicht spricht überhaupt nicht für Dich. Auch mit 16 solltest Du schon ein bißchen unterscheiden können, was kann ich, was darf ich und was gehört sich nicht. Denke immer dran, im dümmsten Fall haften (und zahlen) Deine Eltern für Dich.

Syntafin

Zitat von gamerzhost

mir ist klar das Du (ich erinnere mich) erst 16 bist

korrekt, er hat es auch im Profil stehen

Passwörter, Secret Keys auf Github veröffentlicht

ai3x 24. Oktober 2023 um 16:43

Hilfe - Datenschützer will seine Daten!

Jetzt mitmachen!

Rechtliches