Người dùng GitHub đang bày tỏ phản ứng trái chiều về OSGINT, một công cụ được thiết kế để trích xuất thông tin cá nhân từ hồ sơ GitHub, với mối quan ngại đặc biệt về khả năng phát hiện địa chỉ email mà người dùng có thể đã có ý định giữ riêng tư.
OSGINT, được phát triển bởi một người dùng tên Hippie, cho phép bất kỳ ai truy xuất thông tin về người dùng GitHub bằng cách tìm kiếm tên người dùng hoặc địa chỉ email. Mặc dù công cụ này chủ yếu thu thập dữ liệu có sẵn công khai như chi tiết hồ sơ, số lượng kho lưu trữ và ngày tạo, nhưng khả năng trích xuất địa chỉ email từ nhiều nguồn khác nhau đã làm dấy lên các cuộc tranh luận về quyền riêng tư trong cộng đồng nhà phát triển.
Khả năng trích xuất email
Công cụ này sử dụng nhiều phương pháp để phát hiện email người dùng, bao gồm quét các commit công khai, giải mã khóa GPG, và thậm chí giả mạo commit để tiết lộ địa chỉ email liên quan. Cách tiếp cận toàn diện này có nghĩa là OSGINT thường có thể tìm thấy địa chỉ email mà người dùng có thể không nhận ra là có thể truy cập công khai.
Một người dùng đã thử nghiệm công cụ này xác nhận rằng nó đã truy xuất chính xác thông tin hồ sơ của họ nhưng lưu ý rằng nó cũng thu thập email từ những người đóng góp vào kho lưu trữ của họ, có thể gây nhầm lẫn về việc email nào thực sự thuộc về người dùng mục tiêu:
Khá chính xác, ngoại trừ các email. Những email có tên người dùng
zellynlà chính xác; những email khác là của những người đã đóng góp thay đổi vào các kho lưu trữ mà tôi tạo ra (tôi nghĩ vậy).
Tính năng OSGINT
- Tìm tên người dùng GitHub từ email
- Tìm email từ tên người dùng GitHub (không phải lúc nào cũng thành công)
- Truy xuất thông tin hồ sơ bao gồm:
- Ngày tạo tài khoản
- Các gist công khai
- ID người dùng
- Khóa PGP công khai
- Khóa SSH công khai
Phương pháp Khám phá Email
- Quét tất cả các commit công khai để tìm email không được ẩn
- Giải mã khóa GPG để trích xuất thông tin email
- Truy vấn API người dùng GitHub
- Giả mạo commit với email mục tiêu để kiểm tra lịch sử commit
Lo ngại về quyền riêng tư và tiện ích
Phản ứng của cộng đồng nêu bật những lo ngại đáng kể về đối tượng được hưởng lợi từ các công cụ như vậy. Một số người dùng đặt câu hỏi liệu OSGINT chủ yếu phục vụ mục đích nghiên cứu bảo mật hợp pháp hay chỉ đơn giản là cho phép những người gửi thư rác và nhà tuyển dụng thu thập thông tin liên hệ hiệu quả hơn. Một người bình luận đã hỏi trực tiếp, Ai được hưởng lợi từ điều này ngoài những người gửi thư rác? trong khi một người khác than thở, Ngay khi các nhà tuyển dụng ngừng gửi thư rác cho tôi qua GitHub...
Một số nhà phát triển chỉ ra rằng phần lớn thông tin mà OSGINT thu thập đã hiển thị trên các trang hồ sơ GitHub, với địa chỉ email là ngoại lệ chính. Những người khác đề xuất các phương pháp đơn giản hơn để truy cập cùng dữ liệu, chẳng hạn như thêm .patch vào URL của commit.
Các công cụ tương tự trong hệ sinh thái
Cuộc thảo luận cũng tiết lộ rằng OSGINT không phải là duy nhất trong lĩnh vực này. Một dịch vụ khác có tên RepoReach đã được đề cập là cung cấp chức năng tương tự, mặc dù người dùng bày tỏ thêm lo ngại về sự thiếu minh bạch của nền tảng đó liên quan đến chính sách bảo mật và yêu cầu đăng ký.
Khi các công cụ tình báo nguồn mở (OSINT) trở nên dễ tiếp cận và mạnh mẽ hơn, cộng đồng GitHub tiếp tục tranh luận về sự cân bằng giữa tính minh bạch, nghiên cứu bảo mật và quyền riêng tư cá nhân. Đối với các nhà phát triển lo ngại về dấu chân kỹ thuật số của họ, những cuộc thảo luận này nhấn mạnh tầm quan trọng của việc hiểu thông tin cá nhân nào có thể được truy cập công khai thông qua đóng góp mã và chi tiết hồ sơ của họ.
Một số người dùng đã phản ứng với sự hài hước, chỉ ra việc sử dụng bút danh thay vì tên thật trên GitHub, liên kết đến các hồ sơ như elonmusk và donaldtrump như những ví dụ về cách một số người dùng duy trì quyền riêng tư thông qua tính ẩn danh hơn là các biện pháp kỹ thuật.
Tham khảo: OSGINT