Accessible Deleted Data in Github
Sposoby dostępu do danych z GitHub, które rzekomo zostały usunięte, zostały zgłoszone w tym poście na blogu.
Dostęp do usuniętych danych forków
Forkujesz publiczne repozytorium
Zatwierdzasz kod do swojego forka
Usuwasz swojego forka
Dane zatwierdzone w usuniętym forku są nadal dostępne.
Dostęp do usuniętych danych repozytoriów
Masz publiczne repozytorium na GitHubie.
Użytkownik forkował twoje repozytorium.
Zatwierdzasz dane po tym, jak oni je forkowali (i nigdy nie synchronizują swojego forka z twoimi aktualizacjami).
Usuwasz całe repozytorium.
Nawet jeśli usunąłeś swoje repozytorium, wszystkie zmiany wprowadzone w nim są nadal dostępne przez forki.
Dostęp do danych prywatnych repozytoriów
Tworzysz prywatne repozytorium, które ostatecznie stanie się publiczne.
Tworzysz prywatną, wewnętrzną wersję tego repozytorium (poprzez forkowanie) i zatwierdzasz dodatkowy kod dla funkcji, które nie zamierzasz udostępniać publicznie.
Upubliczniasz swoje repozytorium "upstream" i zachowujesz swój fork jako prywatny.
Możliwe jest uzyskanie dostępu do wszystkich danych przesłanych do wewnętrznego forka w czasie między utworzeniem wewnętrznego forka a udostępnieniem publicznej wersji.
Jak odkryć zatwierdzenia z usuniętych/ukrytych forków
Ten sam post na blogu proponuje 2 opcje:
Bezpośredni dostęp do zatwierdzenia
Jeśli znana jest wartość ID zatwierdzenia (sha-1), możliwe jest uzyskanie do niego dostępu pod adresem https://github.com/<user/org>/<repo>/commit/<commit_hash>
Bruteforce'owanie krótkich wartości SHA-1
Dostęp do obu z nich jest taki sam:
A ostatni używa krótkiego sha-1, który można brutalnie złamać.
Referencje
Last updated
