Как гугл узнаёт об утечке токена API?

Question

Dmitriy Grape @Grapeoff

В чём концепция...?

Как гугл узнаёт об утечке токена API?

Недавно запушил публичный репозиторий, в котором содержались данные для авторизации в Google Cloud Platform (репозиторий тестовый, да и за свой free доступ я не очень боюсь). Как только репозиторий улетел на GitHub, мне сразу прилетело сообщение на почту, что данные скомпрометированы. Как они это поняли? Это какое-то сотрудничество с GitHub? По типу: если в чьём-то репозитории вы найдёте то и то, то делайте репорт в гугл...

Вопрос задан 08 июн. 2023
603 просмотра

5 комментариев

Подписаться 5 Простой 5 комментариев

Григорий Боев @ProgrammerForever

Уверен, что гугл сканирует гитхаб. Запросто, что в качестве фишки - сделали такой сервис, чтобы потом их не поливали грязью в стиле "хакеры взломали гугл, слили кучу данных".

Написано 08 июн. 2023
Dmitriy Grape @Grapeoff Автор вопроса

Григорий Боев, мне всё же, кажется, что гитхаб сканит репу и репортит каким-то партнёрским облачным платформам, но пока что ни подтвердить ни опровергнуть не могу.

Написано 08 июн. 2023
Григорий Боев @ProgrammerForever

Dmitriy Grape, в любом случае, это неплохая фича. Безопасности и паранои много не бывает.

Написано 08 июн. 2023
Dmitriy Grape @Grapeoff Автор вопроса

Григорий Боев, да не, фича то классная, особенно тем, что я о ней совсем не задумывался

Написано 08 июн. 2023
Григорий Боев @ProgrammerForever

Dmitriy Grape, корпорации пылесосят данные до которых могут дотянуться, даже которые пока бесполезные, например https трафик (есть видос недавный от Derek Muller по этому поводу). Есть ещё видосы Масаловича (aka кибердед), удивляет иногда какие данные собираются и обрабатываются.

Написано 08 июн. 2023

Пригласить эксперта

Ответы на вопрос 2

3 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+1 ещё

Средний
Как сделано всплывающее окно с моим e-mail адресом Google, который я на этом сервере не оставлял?
- 1 подписчик
- 17 апр.
- 141 просмотр
2

ответа
Google

+1 ещё

Средний
Почему не могу войти в Gemini с впн?
- 1 подписчик
- 08 апр.
- 316 просмотров
0

ответов
Google

Простой
Как подтвердить аккаунт Google?
- 1 подписчик
- 31 мар.
- 169 просмотров
1

ответ
Google Chrome

+1 ещё

Средний
Как решить проблему синхронизации Google контактов с Google календарем?
- 3 подписчика
- 31 мар.
- 92 просмотра
1

ответ
WordPress

+2 ещё

Средний
Авторизация через Google на сайте для избранных доменов (почт)?
- 1 подписчик
- 25 мар.
- 93 просмотра
1

ответ
Google

Простой
Как получить id token google api?
- 2 подписчика
- 20 мар.
- 185 просмотров
1

ответ
Парсинг

+1 ещё

Простой
Как спарсить выдачу гугла на 100 тыс. страниц?
- 1 подписчик
- 11 мар.
- 251 просмотр
3

ответа
Google

+1 ещё

Средний
Как исправить ошибку «Отрисовка самого крупного контента» в PageSpeed?
- 2 подписчика
- 05 мар.
- 643 просмотра
2

ответа
Google

+1 ещё

Простой
Как убрать ошибки/подчеркивания в тексте при выгрузке DOCX из гугла?
- 1 подписчик
- 03 мар.
- 49 просмотров
0

ответов
Google Chrome

+2 ещё

Средний
Как добавить пользователя в google meet на фоне?
- 1 подписчик
- 22 февр.
- 66 просмотров
2

ответа
Показать ещё Загружается…

Специалист по контекстной рекламе, SEO

Rails • Ларнака

от 50 000 ₽

Разработчик мобильных приложений/Android Developer - webview

MST

от 1 000 $

Маркетолог

Fancy state • Москва

от 60 000 до 80 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Уверен, что гугл сканирует гитхаб. Запросто, что в качестве фишки - сделали такой сервис, чтобы потом их не поливали грязью в стиле "хакеры взломали гугл, слили кучу данных".
Григорий Боев, мне всё же, кажется, что гитхаб сканит репу и репортит каким-то партнёрским облачным платформам, но пока что ни подтвердить ни опровергнуть не могу.
Dmitriy Grape, в любом случае, это неплохая фича. Безопасности и паранои много не бывает.
Григорий Боев, да не, фича то классная, особенно тем, что я о ней совсем не задумывался
Dmitriy Grape, корпорации пылесосят данные до которых могут дотянуться, даже которые пока бесполезные, например https трафик (есть видос недавный от Derek Muller по этому поводу). Есть ещё видосы Масаловича (aka кибердед), удивляет иногда какие данные собираются и обрабатываются.

Answer 1 · 2023-06-08 16:23:53

pantsarny @pantsarny

https://docs.github.com/en/code-security/secret-sc...

Ответ написан 08 июн. 2023

3 комментария

Answer 2 · 2023-06-08 19:50:11

Есть сервисы, которые постоянно сканируют все новые репы на оплошности с логин/паролями, ключами, всякими подобными штуками. Кто быстрее поймает вашу оплошность, тот вам и отрепортит, и в некоторых можно зарегистрироваться и автоматом косяки устранять прям кноповкой из сервиса.
Естественно, когда вы входите во вкус, они начинают хотеть немножечко денежек.

Как гугл узнаёт об утечке токена API?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт