Voor wie weet hoe die moet zoeken, biedt Github een goudmijn aan kant-en-klare inlogcodes voor (web)servers. Alleen al voor virtuele servers van Amazon Web Services (AWS) zijn er bijna 10.000 plain text inlogs te vinden, meldt ITNews.

Slordige developers

Github is de grootste online vergaarbak voor softwarecode. De wachtwoorden en sleutels zitten in repositories die slordig zijn geüpload zonder gevoelige data te verwijderen. Het probleem van de abusievelijk gepubliceerde wachtwoorden bestaat al jaren, maar het nieuwe onderzoek toont aan dat developers hun les nog niet hebben geleerd.

Degenen die er misbruik maken doen dit vaak sluw. In het geval van AWS bijvoorbeeld veranderen ze niets aan de bestaande setup, maar activeren met het gekaapte account nieuwe instances om Bitcoins te minen. De onvoorzichtige developer komt er pas achter als hij een torenhoge rekening krijgt. Amazon lijkt overigens redelijk coulant bij dergelijk misbruik.

Hoe schoon je code op?

Github geeft verschillende tips om code op te schonen van gevoelige data en waarschuwt: als een commit eenmaal is gepubliceerd, moet de data als gecompromitteerd worden beschouwd. Terugtrekken heeft geen zin, meteen je wachtwoorden wijzigen wel.