Uber数据库泄露全是程序员的错！在GitHub公开数据库访问密匙

著名打车公司 Uber 于去年 9 月发现 Uber 的一处数据库出现数据泄露，而这一事故发生于去年 5 月。经过调查发现，Uber 解锁数据库的安全密钥被存储在 GitHub 的一个可以公开访问的页面，外媒称这是“In major goof”（超级傻瓜）的失误。

当然，这不是最最最最傻瓜的，数据库在去年 5 月份就被盗取，直到 9 月份才被 Uber 发现，今年 2 月才对外公布；外媒称这是不能忍受的超级失误。

不过，这种因为低级失误，将密匙，敏感信息上传到 GitHub 公开页面的事件，也不是 Uber 才有。比如你可以在 GitHub 上使用关键字：“extension:key BEGIN RSA PRIVATE KEY”搜索，你会发现有很多人将私有密匙上传到了 GitHub 公开页面上（如下图所示），虽然大多数无内容，不过还是有很多具有内容的密匙。搜索结果高达 5W 多条。

这种傻瓜低级失误，泄露密匙本来可以避免，当然前提还是自己要小心，毕竟网上已经有人专门撰写文章教人如何从 GitHub 寻找敏感信息。而且前段时间，还发生过有人不小心把自己的 S3 API Key 放进 GitHub，然后被盗用之后收到一张 $2375 的账单。还是提醒大家，千万管好自己的敏感信息，不要随便把未经审查的东西上传到 GitHub 的页面，特别是公开页面。