Pengguna GitHub menyatakan reaksi bercampur-campur terhadap OSGINT, sebuah alat yang direka untuk mengekstrak maklumat peribadi daripada profil GitHub, dengan kebimbangan khusus terhadap keupayaannya untuk mendedahkan alamat e-mel yang mungkin ingin dirahsiakan oleh pengguna.
OSGINT, yang dibangunkan oleh pengguna bernama Hippie, membolehkan sesiapa sahaja mendapatkan maklumat tentang pengguna GitHub dengan mencari sama ada nama pengguna atau alamat e-mel. Walaupun alat ini terutamanya mengumpul data yang tersedia secara umum seperti butiran profil, jumlah repositori, dan tarikh penciptaan, keupayaannya untuk mengekstrak alamat e-mel dari pelbagai sumber telah mencetuskan perdebatan privasi dalam komuniti pembangun.
Keupayaan Pengekstrakan E-mel
Alat ini menggunakan beberapa kaedah untuk menemui e-mel pengguna, termasuk mengimbas commit awam, menyahkod kunci GPG, dan bahkan menipu commit untuk mendedahkan alamat e-mel yang berkaitan. Pendekatan komprehensif ini bermakna OSGINT sering boleh menemui alamat e-mel yang mungkin tidak disedari oleh pengguna boleh diakses secara umum.
Seorang pengguna yang menguji alat tersebut mengesahkan ia berjaya mendapatkan maklumat profil mereka dengan tepat tetapi menyatakan ia juga mengumpul e-mel daripada penyumbang kepada repositori mereka, berpotensi mewujudkan kekeliruan tentang e-mel mana yang sebenarnya milik pengguna sasaran:
Hampir tepat, kecuali untuk e-mel. Yang dengan nama pengguna
zellyn
adalah betul; yang lain adalah orang yang telah menyumbang perubahan kepada repositori yang saya cipta (saya rasa).
Ciri-ciri OSGINT
- Mencari nama pengguna GitHub daripada e-mel
- Mencari e-mel daripada nama pengguna GitHub (tidak sentiasa berjaya)
- Mendapatkan maklumat profil termasuk:
- Tarikh pembuatan akaun
- Gist awam
- ID pengguna
- Kunci PGP awam
- Kunci SSH awam
Kaedah Penemuan E-mel
- Mengimbas semua commit awam untuk e-mel yang tidak tersembunyi
- Menyahkod kunci GPG untuk mengekstrak maklumat e-mel
- Membuat pertanyaan kepada API pengguna GitHub
- Menyamar commit dengan e-mel sasaran untuk memeriksa sejarah commit
Kebimbangan Privasi dan Utiliti
Reaksi komuniti menyoroti kebimbangan penting tentang siapa yang mendapat manfaat daripada alat sedemikian. Beberapa pengguna mempersoalkan sama ada OSGINT terutamanya berkhidmat untuk tujuan penyelidikan keselamatan yang sah atau hanya membolehkan penghantar spam dan perekrut untuk mengumpul maklumat hubungan dengan lebih cekap. Seorang pengulas bertanya secara langsung, Siapa yang mendapat manfaat daripada ini selain penghantar spam? sementara yang lain meratapi, Baru sahaja perekrut berhenti menghantar spam kepada saya melalui GitHub...
Sesetengah pembangun menyatakan bahawa kebanyakan maklumat yang dikumpul oleh OSGINT sudah pun kelihatan pada halaman profil GitHub, dengan alamat e-mel menjadi pengecualian utama. Yang lain mencadangkan kaedah yang lebih mudah untuk mengakses data yang sama, seperti menambah .patch pada URL commit.
Alat Serupa dalam Ekosistem
Perbincangan itu juga mendedahkan bahawa OSGINT bukanlah unik dalam ruang ini. Perkhidmatan lain yang dipanggil RepoReach disebut sebagai menawarkan fungsi yang serupa, walaupun pengguna menyatakan kebimbangan tambahan mengenai kekurangan ketelusan platform tersebut berkaitan dengan dasar privasi dan keperluan untuk pendaftaran.
Apabila alat perisikan sumber terbuka (OSINT) menjadi lebih mudah diakses dan berkuasa, komuniti GitHub terus membincangkan keseimbangan antara ketelusan, penyelidikan keselamatan, dan privasi peribadi. Bagi pembangun yang bimbang tentang jejak digital mereka, perbincangan ini menyoroti kepentingan memahami maklumat peribadi mana yang mungkin boleh diakses secara umum melalui sumbangan kod dan butiran profil mereka.
Sesetengah pengguna telah bertindak balas dengan humor, menunjukkan amalan menggunakan nama samaran dan bukannya nama sebenar di GitHub, dengan pautan ke profil seperti elonmusk dan donaldtrump sebagai contoh bagaimana sesetengah pengguna mengekalkan privasi melalui ketanpanamaan dan bukannya langkah-langkah teknikal.
Rujukan: OSGINT