Leak-Search: comment et pourquoi QIWI a créé un service qui recherche les fuites de codes sources des entreprises

La recherche de fuites et de vulnĂ©rabilitĂ©s dans vos produits est non seulement intĂ©ressante et utile, mais Ă©galement nĂ©cessaire. Il est encore plus utile d'impliquer des spĂ©cialistes externes et des passionnĂ©s dans de telles recherches, qui n'ont pas les yeux aussi flous que les employĂ©s. Par consĂ©quent, Ă  un moment donnĂ©, chez QIWI, nous avons lancĂ© le programme de bug bounty - les chercheurs nous ont Ă©crit au sujet des vulnĂ©rabilitĂ©s et reçu des rĂ©compenses, et nous avons fermĂ© ces vulnĂ©rabilitĂ©s. 

Plusieurs fois, nous avons reçu le code accessible au public sous la forme de liens vers des référentiels contenant des informations sensibles. Les raisons des fuites pourraient être les suivantes:

  • le dĂ©veloppeur a Ă©crit un exemple de code de test pour lui-mĂŞme en utilisant les configurations d'un service de «production» - pas d'un environnement de test;

  • l'administrateur a tĂ©lĂ©chargĂ© des scripts pour l'automatisation et la migration de la base de donnĂ©es - informations potentiellement sensibles;

  • le stagiaire a postĂ© le code sans le savoir dans son rĂ©fĂ©rentiel public, estimant que ce n'Ă©tait pas risquĂ©.

Dans le mĂŞme temps, de telles fuites peuvent provenir Ă  la fois des dĂ©veloppeurs travaillant dans l'entreprise et de ceux qui ont dĂ©jĂ  dĂ©missionnĂ©. Par exemple, il y a eu des cas oĂą un employĂ© qui ne travaille plus pour l'entreprise a affichĂ© le code dans un rĂ©fĂ©rentiel ouvert qu'il avait une fois emmenĂ© chez lui pour travailler pendant son temps libre. Il semblerait - cela semble inoffensif, mais Ă  l'intĂ©rieur d'un tel code, il pourrait bien y avoir des mots de passe d'une base de donnĂ©es, d'une configuration rĂ©seau ou d'une sorte de logique mĂ©tier - en gĂ©nĂ©ral, des informations sensibles pour une entreprise qui ne devraient pas ĂŞtre accessibles au public. 

Comme le montre la pratique, la plupart des entreprises sont déjà bien protégées contre les menaces externes - et c'est une fuite interne qui peut causer le plus de dommages. De plus, une telle fuite peut se produire à la fois par malveillance et par accident - et c'est exactement ce que nous avons dit ci-dessus.

— : Firewall, SOC, IDS/IPS , — . , , — .

. , , .

QIWI Leak-Search — , Github . 

— .

, : - , -, , . , — . 

, . . -, , . 

Leak-Search , , , . Fortune . , , , . 

, . -: , , . , - , : , — . 

, Leak-Search. “” ERP- — ? - “” IoT- — , ? “ ” — . .

QIWI Leak-Search

— . — , -, — , , . . 

, , — , , , , , — .

, — . , - , — , . 

. , , , .

Leak-Search , . :

 â€” — smtp, Dockerfile, proxypass, Authorization;

 â€” — com.qiwi.processing.common;

 â€” — int.qiwi.com, 10.4.3.255;

 â€” , — QIWISECRET_KEY, qiwiToken.

, , . - — , . 

 

. , . Open Source: - . .

, , — «» .

StackOverflow — , , . . , , Github. , .

, , , - , , - Github — , . .

, ? , , . , , .

— killer feature . Leak-Search : , . -, . -, , , . 

, , open source, , Github, . , Leak-Search “” .

, . Github — Leak-Search Gist. - Pastebin Gitlab, BitBucket. API. 

, , — false positive, false negative. , .

“ ” . , , — , . 

, Leak-Search . . Leak-Search , — . 

, , Leak-Search , “”. — , , , -, . 

, . , , . , — . 

, , , , , IT, . 

- , , — , . 




All Articles