RubyChina主站及RubyTaobao数据库和配置文件泄漏（导致其阿里云存储服务权限被控制）

1.github泄漏了ruby china 阿里oss key

github:https://github.com/huacnlee/carrierwave-aliyun/blob/1a61840a44a66c8fc3da9ce908b4f94b4a8cd187/spec/spec_helper.rb

ALIYUN_ACCESS_ID = "osOXJ5VeQVgDLMs3"
 ALIYUN_ACCESS_KEY = 'm2LSEotGzDFrtHLeG1e6OATUTQ5ypR'

2.oss工具连接成功

3.backup里面有每天的数据和配置备份

下载最新的一个备份文件里面包含了主站的配置文件和数据库的备份文件

本地还原数据库

两万多用户的表

看一下主题，查以确定是主站数据

最新的一个主题

主题按时间倒序排列

网站关键配置文件的备份

同时ruby.taobao.org的数据库也备份在此（内容不再截图）

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-06-13 13:58

厂商回复：

已删除备份，重置 key

最新状态：

2016-06-13：OSS 那个私钥权限的带来的问题，本来备份用的私钥海不是那个... 哎

2016-06-13：OSS Key 已禁用

2016-06-14：各类私钥，已更换，收紧 accessKey 的权限

1. 2016-06-13 13:44 | 欧冠狂魔阿森纳 ( 实习白帽子 | Rank:87 漏洞数:37 | 静静的看你们装逼)

   0

   查水表

   1# 回复此人

2. 2016-06-13 13:45 | 木易 ( 普通白帽子 | Rank:347 漏洞数:70 | 不，，不要误会，我不是针对谁，我是说在座...)

   0

   看

   2# 回复此人

3. 2016-06-13 13:45 | 7z1 ( 普通白帽子 | Rank:126 漏洞数:18 | 黑客：探险家、网络中的幽灵、用技术捍卫正...)

   0

   6666

   3# 回复此人

4. 2016-06-13 13:45 | j14n ( 普通白帽子 | Rank:2226 漏洞数:401 )

   0

   mark

   4# 回复此人

5. 2016-06-14 16:43 | shlhack‘s bother ( 普通白帽子 | Rank:395 漏洞数:139 | 以前有个梦，后来我醒了)

   0

   NB

   5# 回复此人

6. 2016-06-14 16:44 | shlhack‘s bother ( 普通白帽子 | Rank:395 漏洞数:139 | 以前有个梦，后来我醒了)

   0

   @j14n 我要看看你能不能保持rank在2016

   6# 回复此人

7. 2016-06-14 17:16 | j14n ( 普通白帽子 | Rank:2226 漏洞数:401 )

   0

   @shlhack‘s bother 不能。。还有好几个没确认的。。

   7# 回复此人

8. 2016-06-14 17:36 | k3m ( 路人 | Rank:12 漏洞数:7 | 谁家酱油多?请带上我)

   0

   管理员也是修复得快。

   8# 回复此人

9. 2016-06-14 17:58 | DNS ( 普通白帽子 | Rank:803 漏洞数:85 | )

   0

   site:Github.com smtp site:Github.com smtp @qq.com site:Github.com smtp @126.com site:Github.com smtp @163.com site:Github.com smtp @sina.com.cn site:Github.com smtp password site:Github.com String password smtp

   9# 回复此人

10. 2016-06-16 14:02 | 大物期末不能挂 ( 普通白帽子 | Rank:176 漏洞数:29 | 1.一个学渣，只求每门都不挂 2.想把漏洞提...)

    0

    不是公开了吗？怎么又变成未公开了？

    10# 回复此人