GitHubのユーザーがうっかり公開リポジトリに置いたパスワードや秘密鍵などの情報が検索対象になっていることが分かり、同社が1月25日のブログで注意を呼びかけた。
GitHubのユーザーがうっかり公開リポジトリに置いたパスワードや秘密鍵などの情報が検索対象になっていることが分かり、同社が1月25日のブログで注意を呼びかけた。これと前後してGitHubは、強化を発表したばかりの検索機能が一時的にダウンする障害にも見舞われた。
ブログによると、ユーザーがアカウントのパスワード、OAuthトークン、SSLおよびSSH非公開鍵といった情報を公開リポジトリに置いてしまった場合、Googleにインデックス化されて検索対象になっている可能性が高いという。さらにGitHubの新しい検索機能により、GitHubサイト上でも検索が容易になっていると警告した。
同社は手違いでリポジトリに公開してしまったパスワードなどの情報を削除する方法も紹介している。しかし、いったん公開してしまった情報は流出したものと見なして、パスワード、API鍵、SSH鍵などを変更するよう促した。
一方、検索機能の障害は23日から25日にかけて発生した。同社のステータスページによると、23日夜(協定世界時)ごろからパフォーマンスが低下し、24日にかけて利用できない状況が続いた。これを受けてコード検索クラスタの復旧と調整作業を進めた結果、25日までには復旧が完了。26日以降は正常に動作しており、1月28日の週にブログで検証結果を報告予定だという。
なお、ユーザーの非公開情報が検索対象になってしまった問題と、検索機能のダウンとは無関係だと説明している。
GitHubは23日に検索機能の強化を発表したばかりだった。内容は、GitHubに投稿されたコードをライブでインデックス化する「ElasticSearch」クラスタなどが主眼。公開リポジトリのほか、自分がアクセス権を持つ非公開ポジトリの検索結果も参照できるようになっていた。
Copyright © ITmedia, Inc. All Rights Reserved.