GitHub 与微信达成合作 |

GitHub 与微信达成合作 | 微软 GitHub 官方于 12 月 20 日发布公报,宣布 Github 和腾讯微信达成合作,帮助保护所有公共仓库和私有仓库的共同用户。GitHub 密钥扫描会通过搜索存储库中的已知类型的密钥来保护用户。通过识别和标记这些密钥,有助于防止数据泄露和欺诈。腾讯微信令牌则允许用户验证微信公众号和小程序开发者,获取业务应用的敏感信息,并可用于验证商家身份。GitHub 会将在公共仓库中找到的访问令牌转发给微信,微信将通知受影响的用户。微信鼓励用户删除 GitHub 上泄露的 API token,并在微信支付商家平台或微信公众号平台上创建新 token。

相关推荐

封面图片

腾讯微信成为 GitHub 秘密扫描合作伙伴

腾讯微信成为 GitHub 秘密扫描合作伙伴 GitHub 官方博客腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描 GitHub 的所有代码库,而是 GitHub 有一个项目叫秘密扫描(secret scanning),旨在防止开发者的私有令牌对外泄露。 开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患,秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着 GitHub 将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌,发现之后允许微信撤销这些暴露在外的令牌。
封面图片

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织 GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(发放给Heroku和Travis-CI),从私人仓库下载数据。 自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。 "这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身" GitHub的首席安全官(CSO)Mike Hanley今天透露。 "我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。" "我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于透支其他基础设施的秘密。" GitHub安全部在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWS API密钥。 攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。 bleepingcomputer
封面图片

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容:整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器,这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌:GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案,梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌,这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据,发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈,接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌,同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚:扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌,也就是说到撤销的时候已经有几个月,这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据,或者说没人知道该公司有没有能力检查数据遭到异常访问,这可能需要完整的排查过去几个月的日志。 ... PC版: 手机版:
封面图片

一个让你可以跟 GitHub 仓库进行对话的 Python 工具:Chat-with-GitHub-Repo。

一个让你可以跟 GitHub 仓库进行对话的 Python 工具:Chat-with-GitHub-Repo。 仓库包含两个 Python 脚本,演示如何使用 Streamlit、OpenAI GPT-3.5-turbo 和 Deep Lake 来创建 AI 聊天机器人。 聊天机器人搜索存储在 Deep Lake 中的数据集以查找相关信息,并根据用户的输入生成答案,让你直接跟 GitHub 仓库进行对话。 | #工具
封面图片

GitHub Unwrapped

GitHub Unwrapped GitHub 年度编程回顾视频生成工具,只需输入 GitHub 用户名,即可生成一段个性化视频,回顾其 2024 年的编程活动,支持展示提交次数、最活跃的仓库、编程语言使用情况等数据,可选择是否包含私有活动数据,所有数据处理均在本地浏览器中完成,免费开源,无需注册。 https://githubunwrapped.com 频道 @Edgebyte #GitHub #报告 #开源

封面图片

微信和抖音数据泄露 一份关于TikTok和数据泄漏的公告。790GB的庞大数据库中有20.5亿条用户数据、cookies、令牌、

微信和抖音数据泄露 一份关于TikTok和微信数据泄漏的公告。790GB的庞大数据库中有20.5亿条用户数据、cookies、令牌、来源和其他信息的记录。 有趣的是,这个帖子来自一群黑客主义活动家,他们声称只攻击与欧洲敌对的国家。 中国微信正在保持沉默,而TikTok则否认黑客攻击。尽管如此,研究人员已经确认了样本数据中用户信息的真实性。还有待确认的是,数据库中是否有除了公共数据以外的其他东西。 #DataBreach #WeChat #TikTok

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人