Github隐私信息溯源&反溯源

免责声明

文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

场景介绍

在安全圈子，许多师傅都习惯复用自己的ID在社交软件、安全论坛、博客等作为账号的昵称，这个现象也成为在攻防演练中防守方扩大可溯源面的要素之一。

尤其在Github中如果没有及时修改账号默认的隐私配置，且习惯用QQ、手机号等容易跟敏感信息挂钩的特征邮箱进行注册的话，可能会导致红队人员在攻防演练中被溯源的几率大幅增加。

技术实现

通常情况下，在Github内的用户如果没有进行修改默认的隐私配置的话，当账号公开项目仓库的时候，任何人都可以通过项目修改记录Git信息头中查看到所包含的作者注册所用的邮箱信息。

定向溯源需要两个条件
条件1：获取到红队人员的Github昵称。
（常见情况下可以通过企业蜜罐接口以及其他溯源手段进行抓获）

条件2：目标人员Github用户存在公开项目仓库，且存在提交记录。

点击目标人员公开的项目仓库中的 commits 访问历史提交修改记录。

随意点击访问一条提交修改记录后的ID进行跳转到该记录的详细内容页面，获取该页面URL。

在URL后缀添加".patch"进行访问Git发布信息头

记录详细页面URL：
https://github.com/User/xxxxx/commit/xxxxxxxxxxxxxxxxxx

修改后：
https://github.com/User/xxxxx/commit/xxxxxxxxxxxxxxxxxx.patch

发布信息头包含该用户注册时所用的邮箱，当个人习惯将自己的QQ、手机号等作为邮箱进行注册时，QQ号、手机号与所关联的敏感信息被进一步溯源。

反溯源措施

应对措施也很简单，及时修改"用户设置"中默认的邮箱Email隐私配置，勾选"将我的电子邮箱隐藏"，这时候Github会提供一个用户虚拟邮箱进行替换使用。

再进行访问项目仓库提交记录的Git信息头内容时，邮箱内容已经替换成虚拟Github邮箱地址。