Теги → github
Быстрый переход

Злоумышленники использовали GitHub для криптомайнинга, но сервис до сих пор не закрыл уязвимость

Популярная служба для хранения исходного кода GitHub расследует серию атак на свою облачную инфраструктуру. Киберпреступники смогли внедриться на серверы компании и использовать их для криптомайнинга. Об этом сообщил ресурсу The Record пресс-секретарь сервиса.

(The Record)

(The Record)

Атаки начались осенью 2020 года и проводились через GitHub Actions — функцию сервиса, которая позволяет пользователям автоматически выполнять задачи и рабочие процессы, когда в одном из их репозиториев GitHub происходит определённое событие.

Голландский инженер по безопасности Джастин Педок (Justin Perdok) сообщил The Record, что, как минимум, одна из атак подразумевает отправку запросов Pull Request для внесения нежелательных изменений в чужие репозитории. Инженер отметил, что злоумышленники нацелены на владельцев таких проектов GitHub, которые обрабатывают запросы Pull Request автоматически, а не вручную.

(Justin Perdok)

(Justin Perdok)

Как только подобный вредоносный запрос подан, система GitHub считывает код злоумышленника и запускает виртуальную машину, которая в свою очередь скачивает и запускает программное обеспечение для майнинга криптовалют в инфраструктуре GitHub. Господин Педок отметил, что сталкивался с запуском до сотни майнеров криптовалюты с помощью лишь одной атаки — это создавало огромную вычислительную нагрузку на инфраструктуру GitHub.

Атаки, как считает специалист, происходят случайным образом и в большом масштабе. Он идентифицировал, как минимум, одну учётную запись, создающую запросы Pull Request, содержащие вредоносный код. При этом подобная активность злоумышленников наблюдается, как минимум, с ноября 2020 года, когда о первом случае сообщил французский инженер-программист.

(Justin Perdok)

(Justin Perdok)

В электронном письме журналистам GitHub сообщила, что осведомлена об этой деятельности и активно расследует её — то же самое служба сообщила французскому инженеру в прошлом году. Тем не менее, компания, похоже, пока просто блокирует учётные записи злоумышленников, а они регистрируют новые. На данный момент атака не наносит ущерба проектам пользователей и, похоже, сосредоточена исключительно на злоупотреблении инфраструктурой GitHub.

Пикселизация больше не защитит информацию на изображениях — появился алгоритм, способный восстановить картинку

Многие пользователи в интернете для скрытия конфиденциальной информации на видеороликах и фотографиях пользуются пикселизацией (сильное снижение разрешения). Однако теперь этот способ будет малоэффективен — в сети появился алгоритм, который восстанавливает пиксилизированный текст на изображениях.

Источник изображения: antyweb

Источник изображения: antyweb

Разработчик с ником Beurtschipper опубликовал на GitHub утилиту дешифровки изображений под названием Depix, написанную на Python.

Источник изображения: linkedin

Источник изображения: linkedin

Фильтр пикселизации работает следующим образом: изображение делится на блоки нужного размера, в каждом из них определяется основной цвет (среднее значение от всех оттенков блока), после чего квадрат заливается сплошным цветом. Что очень важно, одинаковые элементы даже на разных изображениях будут пикселизироваться одинаково.

Алгоритм Depix использует как раз этот принцип — в программу загружается пикселизированное изображение (пока, это работает только с текстом) и алфавит в виде Последовательности де Брёйна с теми же настройками шрифта, что и в пикселизированном фрагменте. К настройкам шрифта относится размер, цвет, сам шрифт, а также цветовая модель HSL (тон, насыщенность и светлота).

Источник изображения: GitHub

Источник изображения: GitHub

После этого алгоритм разбивает на пиксели загруженный в него алфавит и начинает искать совпадения в блоках первоначального пикселизированного изображения, чтобы найти подходящий символ.

Источник изображения: linkedin

Источник изображения: linkedin

Подбор будет завершён, только когда не останется совпадений между двумя картинками. Результат будет экспортирован в формате изображения в «output.png».

Для того, чтобы воспользоваться алгоритмом, необходимо скачать на компьютер Python, загрузить Depix с GitHub, сделать скриншот пикселизированного элемента, который нужно расшифровать. Сгенерировать Последовательность де Брёйна на специальном сайте и создать из неё текстовый файл с настройками шрифта, которые могут соответствовать пикселизированному изображению. После этого сделать скриншот текстового документа с Последовательностью де Брёйна и запустить в Python соответствующий код.

В своей статье, где разработчик подробно разобрал работу алгоритма, он отмечает, что ранее подобных утилит в свободном доступе не существовало. А для безопасности стоит полностью удалять конфиденциальную информацию с изображений и видеороликов, так как алгоритмы не стоят на месте.

GitHub восстановил доступ к утилите для загрузки видео из YouTube

Вчера, 17 ноября, GitHub восстановил доступ к репозиторию популярного проекта youtube-dl, развивающего утилиту командной строки для загрузки видео из YouTube и других сайтов. Ранее он был удалён из системы за нарушение авторских прав.

Источник изображения: GitHub

Источник изображения: GitHub

В своём блоге представители GitHub рассказали, что youtube-dl нарушал пункт 1201 действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Именно на эту статью ссылалась Американская ассоциация звукозаписывающих компаний (RIAA), когда в конце октября подавала на GitHub жалобу. 

Однако за это дело взялась международная правозащитная организация Electronic Frontier Foundation. В письме, которое GitHub прислали юристы фонда, было пояснено, что блокировка является незаконной. Дело в том, что согласно пункту 1201 нарушение авторских прав происходит путём обхода системы защиты на каком-либо сервисе. Однако Google не использует никаких систем для предотвращения загрузки видео с YouTube. Следовательно, репозиторий проекта youtube-dl не может быть удалён или заблокирован, так как задействованный в нём алгоритм не обходит никаких систем предотвращения загрузки контента с площадки. Поэтому репозиторий был возвращён на платформу.

Помимо основного репозитория youtube-dl, который служил исходным кодом для других проектов, были заблокированы ещё 18 приложений на его основе. По мнению RIAA, софт нарушал авторские права, так как позволял загружать видеоролики, защищённые авторскими правами.

GitHub ушёл под лёд: 21 Тбайт открытого кода спрятано в арктическом хранилище

Как вы можете помнить, купленная компанией Microsoft платформа GitHub планировала создать защищённый архив открытого кода во льдах Арктики. Точнее, в специально оборудованной под хранилище шахте на острове Шпицберген, в условиях вечной мерзлоты. Снимок для архива был сделан 2 февраля 2020 года, но из-за пандемии COVID-19 архив достиг хранилища только в этом месяце.

Открытый код будет храниться на «тёплой ламповой» плёнке (GitHub)

Открытый код будет храниться на «тёплой ламповой» плёнке (GitHub)

Как сообщается в блоге GitHub, 2 февраля сделана копия наиболее важного или связанного с ним открытого исходного кода (почти всего, как утверждают в GitHub, но это вряд ли). «Отправленный в GitHub Arctic Code Vault снимок архива от 02/02/2020 охватывает все активные публичные репозитории GitHub, в дополнение к существенным, но бездействующим репозиториям».

Вид на вход в арктическую шахту (GitHub)

Вид на вход в арктическую шахту (GitHub)

Снимок включает каждый репозиторий с коммитами между объявлением в GitHub 13 ноября 2019 года и 2 февраля 2020 года, каждый репозиторий с минимум 1 звездой и коммитами за год до снимка (с 02/03/2019 по 02/02/2020), а также каждый репозиторий с 250 и более звёзд. Но на практике право попасть в арктический архив получил даже код без звёзд, что затрудняет дать полную оценку правилам выбора права на хранение. Добавим, пользователи GitHub, чей код попал в арктический архив, получили ярлычки с записью «Arctic Code Vault Contributor».

Пример бейджика «Arctic Code Vault Contributor» (GitHub)

Пример бейджика «Arctic Code Vault Contributor» (GitHub)

Всего для архива было отобрано 21 Тбайт данных, которые были записаны на специальные ленты в бобинах компании Piql. Это полиэфирная плёнка на основе галогенидов серебра. В каждой катушке чуть больше километра плёнки (1066 метров). Всего записано 186 таких катушек, и все они в девяти больших коробках доставлены в хранилище на острове Шпицберген в Норвегии. Пандемия не позволила команде GitHub лично сопровождать архив до хранилища на глубине в несколько сотен метров, но, как сообщают в компании, архив успешно доставлен и помещён в шахту 8 июля.

Коробки с архивом (Github)

Коробки с архивом (Github)

Компания Piql, которой принадлежит арктическое хранилище, гарантирует сохранность данных на ленте в течение 500 лет. Искусственное старение ленты показало, что данные с ленты можно считать даже после 1000 лет хранения. Остаётся надеяться, что к тому времени на Земле останутся средства считывания таких архивов, а то ведь всякое может случиться. Сохранить ― это одно, а понять, зачем оно нужно и что с ним делать ― это совсем другое.

GitHub был недоступен тысячам разработчиков по всему миру два часа

GitHub подвёл тысячи разработчиков программного обеспечения. Принадлежащая Microsoft служба, которая обеспечивает контроль версий через Git и серверы для хранения исходников ПО, испытывала проблемы с доступом более двух часов.

Пользователи GitHub сталкивались с ошибками при входе в службу, а некоторые даже не могли использовать свою интегрированную среду разработки (IDE) из-за тесной интеграции разработки программного обеспечения с GitHub. Компания сообщила, что расследовала сбой, прежде чем ошибки были выявлены и исправлены.

GitHub — это очень мощное хранилище исходников, которое стало чрезвычайно популярным среди разработчиков и компаний, которые размещают там целые проекты и свой код. Apple, Amazon, Google, Facebook и многие другие крупные технологические гиганты пользуются услугами GitHub. На GitHub размещено более 100 миллионов репозиториев, и 40 миллионов разработчиков пользуются услугами службы.

Microsoft приобрела GitHub за $7,5 миллиардов долларов в 2018 году и постепенно улучшает службы, добавляя те или иные услуги для разработчиков. Microsoft в начале этого года даже снизила цену самых популярных платных подписок GitHub и перенесла некоторые ключевые функции своих платных предложений в бесплатную версию сервиса.

Новое приложение GitHub для iPhone и iPad позволит управлять проектами на ходу

Приложение GitHub Mobile теперь доступно в Apple AppStore. Этому событию предшествовали почти четыре месяца бета-тестирования. Приложение было анонсировано в ноябре 2019 года. GitHub Mobile не предоставляет полноценной среды разработки, однако ему есть чем привлечь потенциальных пользователей.

9to5mac.com

9to5mac.com

Приложение фокусируется на таких вещах, как организация задач, организация коммуникации с пользователями и управление запросами на применение изменений (pull request). Разработчики описывают приложение, как инструмент для решения простых текущих задач, не требующих сложной среды разработки.

9to5mac.com

9to5mac.com

Приложение GitHub для iPhone и iPad доступно для загрузки на iPhone и iPad совершенно бесплатно. Если вам необходимо более мощное приложение для работы с GitHub, вы можете также загрузить сторонний клиент Working Copy из AppStore.

Власти предлагают создать аналог GitHub для хранения российского кода: на кону 2,1 млрд рублей

Министерство экономического развития РФ предлагает выделить 2,1 млрд рублей на создание аналога GitHub, крупнейшего сервиса для хостинга и совместной разработки IT-проектов, принадлежащего компании Microsoft. Представители ведомства считают такой шаг оправданным, поскольку собственное хранилище кода может оказаться полезным, если Россию в будущем отключат от сервиса GitHub из-за санкций. Эксперты считают, что сам по себе такой сервис вряд ли будет пользоваться популярностью, поэтому его полезность предлагается увеличить за счёт наполнения кодом, который был разработан за государственный счёт.

Информация об этой инициативе появилась в последней версии федерального проекта «Искусственный интеллект», разработку которого осуществляют Минэкономики и Сбербанк. В Минэкономики подтвердили, что идея по созданию российского аналога GitHub является одним из «ключевых мероприятий для обеспечения условий для создания открытых библиотек ИИ» в рамках развития национальной стратегии развития ИИ до 2030 года, которую осенью прошлого года утвердил президент РФ. В российский репозиторий планируется копировать востребованные программы из зарубежных открытых источников. Согласно имеющимся данным, российский аналог GitHub может быть запущен к 2021 году, а к 2024 году количество репозиториев планируется увеличить до пяти.

Стоит сказать о том, что некоторые участники рынка скептически относятся к данной инициативе, считая, что российский аналог не будет интересен для пользователей, пока открыт доступ к GitHub. Эксперты считают, что сервисы такого типа становятся успешными благодаря сообществу разработчиков, а не за счёт административного ресурса. Более важно сделать акцент на разработке конкурентоспособных ресурсов и библиотек, а не на копировании уже существующих данных.

Под Android выпущено официальное мобильное приложение GitHub, хотя пока далеко не для всех

Для сервиса GitHub готовится к выходу версия приложения под мобильную ОС Android. Впервые её презентовали на Github Universe 2019, тогда же запустили сборку под iOS. На данный момент существует только бета-версия, ссылку на которую можно получить по предварительной регистрации для закрытого тестирования. 

GitHub для мобильных устройств можно использовать на любом смартфоне или планшете под управлением Android 5.1 или более поздней версии. Поскольку приложение полностью нативное, оно поддерживает несколько размеров экрана и настроек, включая тёмный режим.

Приложение позволяет просматривать код, объединять изменения и обмениваться отзывами. То есть делать всё то же, что и на ПК, но буквально в любом месте.

Сам сервис ранее также получил ряд нововведений, включая новый интерфейс уведомлений, улучшенный поиск, новые способы навигации по коду, запланированные напоминания, дополнительные варианты распределения нагрузки для командной работы и много другое.

А ещё сервис запустил проект поиска уязвимостей в открытом ПО, в котором участвуют многие крупные IT-компании мира. В их числе есть Google, Intel, LinkedIn, Microsoft, Mozilla, Oracle, Uber, VMWare и не только.

В целом, после покупки GitHub компанией Microsoft уже очевидно, что проект не только остаётся на плаву, но и активно развивается. Главное, чтобы это не прекратилось.

GitHub инициировал проект поиска уязвимостей в открытом ПО

Похоже, что руководство GitHub всерьёз задумалось о безопасности ПО. Сначала было хранилище данных на Шпицбергене и проект финансовой поддержки разработчиков. А теперь появилась инициатива GitHub Security Lab, которая предполагает участие всех заинтересованных специалистов в улучшении безопасности открытого ПО.

github.blog

github.blog

В инициативе уже участвуют F5, Google, HackerOne, Intel, IOActive, J.P. Morgan, LinkedIn, Microsoft, Mozilla, NCC Group, Oracle, Trail of Bits, Uber и VMWare. Они за последние два года помогли выявить и устранить 105 уязвимостей в ряде проектов.

Другим участникам обещаны награды до $3000 за выявленные уязвимости. В интерфейсе GitHub уже доступна возможность получить CVE-идентификатор для проблемы и создать отчёт о ней. Введён в строй каталог уязвимостей GitHub Advisory Database, содержащий сведения о проблемах с приложениями, размещёнными на GitHub, уязвимых пакетах и так далее.

Кроме того, в систему уже добавили обновлённую защиту, которая следит, чтобы персональные и конфиденциальные данные, вроде токенов, ключей и тому подобных, не попали в публичные репозитории. Как утверждается, система автоматически сканирует форматы ключей от 20 сервисов и облачных систем. Если обнаруживается проблема, то сервис-провайдеру направляется запрос для подтверждения проблемы и отзыва скомпрометированных ключей.

Отметим, что ранее GitHub был приобретён компанией Microsoft. Похоже, что в Редмонде решили всерьёз взяться за безопасность данных.

1000 лет в вечной мерзлоте: GitHub сохранит открытый программный код на плёнках в шахте Шпицбергена

Платформа GitHub, поглощённая Microsoft, раскрыла планы по долговременному архивному хранению разнообразного открытого программного кода в условиях вечной мерзлоты на островах полярного архипелага Шпицберген. Во-первых, там холодно, чему на протяжении столетий не сможет помешать даже глобальное потепление. Во-вторых, это демилитаризованная зона. В-третьих, там уже есть хранилище коллекции семян на случай Апокалипсиса. Будет ещё одно. На тот случай, если через 1000 лет понадобится ПО, исходный код которого может быть утерян.

Сейф с катушками в шахте (Guy Martin / Bloomberg)

Сейф с катушками в шахте (Guy Martin / Bloomberg)

Снимок для архива GitHub сделает 2 февраля 2020 года. Это будут, в основном, активные публичные репозитарии и что-то из архивов. Коллекция будет включать открытый код для Linux и Android, языки программирования Python, Ruby и Rust, веб-платформы Node, V8, React и Angular, криптовалютное ПО для Bitcoin и Ethereum, ИИ-инструменты TensorFlow и FastAI, а также многое другое.

Изготовление катушки Piql

Изготовление катушки Piql

В качестве носителей выбраны катушки с лентами компании Piql. Собственно, шахта-хранилище тоже оборудована и принадлежит Piql. Каждая катушка Piql позволяет хранить около 120 Гбайт на ленте длиной 3500 футов (1066 метров). Заявленный срок сохранности  данных на ленте составляет 500 лет. Искусственное старение выявило возможность хранить данные дольше ― не менее 1000 лет. Хранилищем Piql уже воспользовались несколько стран и организаций для хранения информации. Например, Ватикан и Европейское космическое агентство. Катушки GitHub будут лежать на полках подземного сейфа Piql рядом с другим культурным наследием человечества.

Кварцевый носитель Microsoft Silica

Кварцевый носитель Microsoft Silica

Кстати, поглощение GitHub компанией Microsoft ведёт к расширению проекта по сохранению программного или иного наследия на новых и перспективных носителях данных. Речь идёт о проекте Microsoft Silica. Это запись на 2-мм пластинку кварцевого стекла около 76 Гбайт данных фемтосекундным лазером. Кварцевое стекло представляется более надёжным носителем, чем лента. Оно, возможно, сможет сохранить информацию намного и намного дольше плёнок.

Появилась утилита для удаления движущихся объектов с видео

На сегодняшний день для многих уже не является проблемой удаление мешающего элемента с фотографии. Базовые навыки работы в Photoshop или модные сегодня нейросети могут решить проблему. Однако в случае с видео ситуация осложняется, ведь нужно обработать минимум 24 кадра на одну секунду видео.

pixabay.com

pixabay.com

И вот на Github появилась утилита, которая автоматизирует эти действия, позволяя удалять любые движущиеся объекты с видео. Достаточно просто выделить лишний объект рамкой с помощью курсора, а система сделает всё остальное. Утилита называется незамысловато — video-object-removal. Однако в её основе лежат продвинутые технологии.

Система использует нейросеть, которая обрабатывает видео покадрово, заменяя ненужный объект или человека фоном. Программа может менять до 55 кадров в секунду, достраивая фон на основе окружающего изображения. Хотя при ближайшем рассмотрении становится ясно, что метод удаления объектов далеко не идеален, результаты впечатляют.

На некоторых кадрах видно, что на месте «удалённого» человека остаётся прозрачный или полупрозрачный фантомный след. Дело в том, что система анализирует лишь доступный фон и пока что не всегда адекватно может дорисовывать его. Это зависит от сложности фона — чем он проще и однороднее, тем лучше конечный результат.

Для тестирования использовалась ОС Ubuntu 16.04, Python 3.5, Pytorch 0.4.0, CUDA 8.0, а обработка шла на видеокарте NVIDIA GeForce GTX 1080 Ti. Сами исходники открыты и могут использоваться всеми. При этом отметим, что такая технология может применяться и в злонамеренных целях. Например, чтобы «скрыть» нарушения правил дорожного движения или другие преступления, попавшие на камеры.

На GitHub запустили систему финансовой поддержки разработчиков

На сервисе GitHub появилась возможность финансировать открытые проекты. Если у пользователя нет возможности принять участие в разработке, то он может профинансировать понравившийся проект. Аналогичная система работает на Patreon.

Система позволяет ежемесячно перечислять фиксированные суммы тем разработчикам, которые зарегистрировались в качестве участников. Для спонсоров же обещаны привилегии вроде внеочередного устранения ошибок. При этом GitHub не будет брать процент за посредничество, а также в течение первого года станет покрывать расходы на транзакции. Хотя в будущем не исключено, что отчисления за обработку платежей всё же введут. Финансовой стороной будет заниматься фонд GitHub Sponsors Matching Fund.

Кроме новой схемы монетизации, в GitHub появился сервис для обеспечения безопасности проектов. Эта система построена на наработках компании Dependabot и автоматически проверяет код в репозиториях на  уязвимости. В случае обнаружения бреши система сообщит об этом разработчикам и автоматически создаст pull-запросы для исправления.

Наконец, появился сканер токенов и ключей доступа, который проверяет данные во время коммита. Если какой-то ключ определяется как скомпрометированный, провайдерам сервисов направляется запрос для подтверждения утечки. В числе доступных сервисов отмечаются Alibaba Cloud, Amazon Web Services (AWS), Azure, GitHub, Google Cloud, Mailgun, Slack, Stripe и Twilio.

Отмечается, что некоторые пользователи уже выразили недовольство тем фактом, что GitHub начал поддерживать систему донатов. Некоторые прямо заявляют, что таким образом Microsoft, которой принадлежит GitHub, пытается заработать и на свободном ПО.

Хакер требует выкуп за восстановление удалённых Git-репозиториев

Сетевые источники сообщают о том, что сотни разработчиков обнаружили исчезновение кода в их Git-репозиториях. Неизвестный хакер угрожает опубликовать код, если его требования о выкупе не будут выполнены в указанный срок. Сообщения об атаках появились в субботу. По всей видимости, они скоординированы через хостинг-сервисы Git (GitHub, Bitbucker, GitLab). Всё еще остаётся непонятным, каким образом атаки были осуществлены.

Сообщается, что хакер удаляет из репозитория весь исходный код, а вместо него оставляет сообщение, в котором просит заплатить выкуп в размере 0,1 биткоина, что приблизительно равно $570. Хакер также сообщает, что весь код сохранён и находится на одном из подконтрольных ему серверов. Если в течение 10 дней выкуп не поступит, то он обещает разместить похищенный код в открытом доступе.

Текст сообщения, которое хакер оставляет жертвам взлома

Текст сообщения, которое хакер оставляет жертвам взлома

По данным ресурса BitcoinAbuse.com, который занимается отслеживанием биткоин-адресов, замеченных в подозрительных действиях, за последние сутки для указанного адреса было зафиксировано 27 отчётов, в каждом из которых находился одинаковый текст.

Часть пользователей, которые подверглись атаке неизвестного хакера, сообщили о том, что использовали недостаточно надёжные пароли для своих аккаунтов, а также не удаляли токены доступа для приложений, неиспользуемых длительное время. Судя по всему, хакер осуществил сканирование сети с целью поиска файлов конфигурации Git, обнаружение которых позволило извлечь пользовательские учётные данные.

Директор по безопасности GitLab Кэти Ванг (Kathy Wang) подтвердила наличие проблемы, сказав, что расследование инцидента было начато ещё вчера, когда была получена первая жалоба пользователя. Она также сообщила, что удалось определить учётные записи, которые были взломаны, их владельцев уже оповестили. Проделанная работа помогла подтвердить предположение о том, что пострадавшие использовали недостаточно надёжные пароли. Пользователям рекомендуется применять специальные инструменты управления паролями, а также двухфакторную аутентификацию, чтобы предотвратить возникновение подобных проблем в будущем.

Участники форума StackExchange изучили ситуацию и пришли к выводу, что хакер не удаляет весь код, а меняет заголовки Git-коммитов. Это означает, что в ряде случаев пользователи смогут восстановить утраченный код. Столкнувшимся с проблемой пользователям рекомендуется связаться с поддержкой сервисов.

Китайские разработчики оригинально протестуют против графика работы

Китайские разработчики и технические специалисты начали оригинально протестовать против слишком большой продолжительности рабочего дня. Они создали на GitHub репозиторий 996.ICU, где публикуют ссылки и информацию о своей работе с 9 утра до 9 вечера на протяжении 6 дней в неделю. Вместо программного кода репозиторий содержит множество жалоб на руководство компаний Китая, включая Alibaba, Huawei, Bytedance, DJI и другие. Их сотрудники описывают все «прелести» подобного подхода к организации бизнеса.

theverge.com

theverge.com

Всё началось с того, как анонимный разработчик из Поднебесной разместил проект на китайской социальной платформе V2EX. По его словам, напряжённый график работы не позволял ему «отдыхать и общаться с членами семьи».

Как отмечается, репозиторий могут использовать все желающие, причём не только из Китая. Взамен они должны предоставить ссылки на сообщения в социальных сетях или новостные статьи по теме, доказывающие, что нарушения трудового законодательства в той или иной компании есть. Рекомендуется не просто делать снимки экрана, а использовать утилиты вроде Screen Capture. При этом создатели репозитория предупреждают, что пользователи не должны делать скриншоты внутренней документации и переписки компаний, чтобы избежать проблем. На данный момент популярность «проекта» резко возросла, появились версии на английском, хинди, испанском, русском, галльском, персидском и других языках.

pixabay.com

pixabay.com

Утверждается, что та же Huawei поощряет работников добровольно отказываться от оплачиваемого отпуска и отпуска по рождению ребёнка, а также работать сверхурочно, чтобы получать бонусы к зарплатам. В качестве доказательства приводится статья 2010 года. Там же заявлено, что в 2006 году один из сотрудников компании умер от переутомления, а в 2008 два работника покончили с собой. Официального заявления от Huawei не было, но с тех пор компания поумерила пыл. Подобное случается и в других корпорациях.

pixabay.com

pixabay.com

Любопытно здесь то, что в китайских законах есть ограничения на сверхурочную работу — не более 3 часов сверхурочной работы в день и не более 36 часов в месяц. При этом зарплата должна в эти периоды повышаться с коэффициентом 150 %. Правда, существует куча способов обойти законодательные препоны. Отметим, что китайские рабочие часто не защищены профсоюзами, поскольку они контролируются Коммунистической партией Китая и часто играют пассивную роль в оказании помощи работникам. С другой стороны, технические специалисты получают высокие зарплаты и часто сами работают сверхурочно на добровольных началах. Хотя некоторые и жалуются на сложные условия труда, многие считают это нормой по местным меркам.

Напомним, GitHub принадлежит компании Microsoft, но пока правительство КНР не сделало ничего, чтобы закрыть доступ к ресурсу. Однако такая угроза существует минимум с 2013 года, потому не факт, что доступ будет неограничен и впредь.

Инженеры ASUS месяцами держали открытыми внутренние пароли на GitHub

У команды по безопасности ASUS март явно не задался. Появились новые обвинения в серьёзных нарушениях безопасности со стороны сотрудников компании, на этот раз с участием GitHub. Новость поступила вслед за скандалом, связанным с распространением уязвимостей через официальные серверы Live Update.

Аналитик по безопасности из SchizoDuckie связался с Techcrunch, чтобы поделиться подробностями о ещё одной бреши в безопасности, обнаруженной им в брандмауэре ASUS. По его словам, компания ошибочно публиковала собственные пароли сотрудников в репозиториях на GitHub. В результате он получил доступ к внутренней электронной почте компании, где сотрудники обменивались ссылками на ранние сборки приложений, драйверов и инструментов.

Аккаунт принадлежал инженеру, который, как сообщается, оставлял его открытым по крайней мере в течение года. SchizoDuckie также сообщил, что обнаружил внутренние пароли компании, опубликованные на GitHub в учётных записях двух других инженеров тайваньского производителя. Источник поделился с журналистами скриншотами, которые подтверждают его выводы, хотя сами изображения опубликованы не были.

Стоит отметить, что речь идёт о совершенно иной уязвимости по сравнению с предыдущей атакой, в которой хакеры получили доступ к серверам ASUS и модифицировали официальное ПО, встроив в него бэкдор (после чего ASUS добавила к нему сертификат подлинности и стала распространять по официальным каналам). Но в данном случае обнаружена ошибка безопасности, которая могла подвергнуть компанию риску аналогичных атак.

«Компании не имеют ни малейшего понятия, что их программисты делают со своим кодом на GitHub», — сказал SchizoDuckie. ASUS заявила, что не может проверить заявления специалиста, но активно проверяет все системы, чтобы устранить известные угрозы со своих серверов и вспомогательного ПО, а также убедиться в отсутствии утечек данных.

Подобные проблемы безопасности не являются уникальными для ASUS — нередко даже весьма крупные компании попадают в сходные ситуации, связанные с небрежностью сотрудников. Всё это говорит о том, насколько сложна задача обеспечения безопасности в современной инфраструктуре и насколько просто происходят утечки данных.

window-new
Soft
Hard
Тренды 🔥
Google сократила команду разработки медицинских продуктов и перевела часть сотрудников в Fitbit 3 ч.
Facebook запустила рекламу в своём сервисе коротких видео Instagram Reels 3 ч.
Nutanix Era прописалась в HPE GreenLake 5 ч.
Госдума приняла закон о внесудебной блокировке мошеннических сайтов 6 ч.
«Яндекс» запустил «Балабоба» — сервис, который способен дописать любой текст с помощью ИИ 8 ч.
A Plague Tale: Innocence появится на консолях нового поколения и Switch в начале июля 8 ч.
Видео: разработчики S.T.A.L.K.E.R. 2 разобрали недавний трейлер и раскрыли несколько малозаметных деталей 8 ч.
Senua’s Saga: Hellblade II до сих пор не вышла из препродакшена, но амбиций разработчикам не занимать 9 ч.
Агент KAY/O, бесплатный праздничный пропуск и благотворительный набор: Riot поделилась подробностями обновления 3.00 для Valorant 10 ч.
Украинская киберполиция арестовала хакеров, распространявших вирус-вымогатель Clop 10 ч.