GitHub 使用者對 OSGINT 這款設計用於從 GitHub 個人資料中提取個人資訊的工具表達了不同的反應,特別是對其能夠發現使用者可能希望保持私密的電子郵件地址的功能表示擔憂。
OSGINT 由一位名為 Hippie 的使用者開發,允許任何人透過搜尋使用者名稱或電子郵件地址來檢索 GitHub 使用者的資訊。雖然該工具主要收集公開可用的資料,如個人資料詳情、倉庫數量和建立日期,但其從各種來源提取電子郵件地址的能力在開發者社群引發了隱私爭議。
電子郵件提取功能
該工具採用多種方法來發現使用者電子郵件,包括掃描公開提交、解碼 GPG 金鑰,甚至偽造提交以揭示相關的電子郵件地址。這種全面的方法意味著 OSGINT 通常能找到使用者可能沒有意識到公開可訪問的電子郵件地址。
一位測試該工具的使用者確認它準確地檢索了他們的個人資料資訊,但注意到它還收集了其倉庫貢獻者的電子郵件,這可能會造成關於哪些電子郵件實際屬於目標使用者的混淆:
「使用者名稱為 zellyn 的電子郵件基本上都是準確的;其他的是為我建立的倉庫貢獻過更改的人(我認為)。」
OSGINT 功能特點
- 透過電子郵件查詢 GitHub 使用者名稱
- 透過 GitHub 使用者名稱查詢電子郵件(不總是成功)
- 獲取個人資料資訊,包括:
- 賬戶建立日期
- 公開的 Gist
- 使用者 ID
- 公開的 PGP 金鑰
- 公開的 SSH 金鑰
電子郵件發現方法
- 掃描所有公開提交中未隱藏的電子郵件
- 解碼 GPG 金鑰以提取電子郵件資訊
- 查詢 GitHub 使用者 API
- 使用目標電子郵件偽造提交以檢查提交歷史
隱私和實用性擔憂
社群反應突顯了關於誰從此類工具中受益的重大擔憂。幾位使用者質疑 OSGINT 是主要服務於合法安全研究目的,還是僅僅使垃圾郵件傳送者和招聘人員能夠更有效地收集聯絡資訊。一位評論者直接問道,除了垃圾郵件傳送者,這對誰有利?而另一位則感嘆,就在招聘人員停止透過 GitHub 向我傳送垃圾郵件的時候...
一些開發者指出,OSGINT 收集的大部分資訊已經在 GitHub 個人資料頁面上可見,電子郵件地址是主要例外。其他人則建議了訪問相同資料的更簡單方法,例如在提交 URL 後附加 .patch。
生態系統中的類似工具
討論還揭示了 OSGINT 在這一領域並非獨特。另一個名為 RepoReach 的服務被提及為提供類似功能,儘管使用者對該平臺缺乏關於其隱私政策的透明度以及需要註冊的要求表達了額外的擔憂。
隨著開源情報(OSINT)工具變得更加易於獲取和強大,GitHub 社群繼續就透明度、安全研究和個人隱私之間的平衡進行辯論。對於關心自己數字足跡的開發者來說,這些討論突顯了了解哪些個人資訊可能透過程式碼貢獻和個人資料詳情公開訪問的重要性。
一些使用者以幽默的方式回應,指出在 GitHub 上使用假名而非真實姓名的做法,連結到像 elonmusk 和 donaldtrump 這樣的個人資料作為例子,說明一些使用者如何透過匿名而非技術措施來維護隱私。
參考:OSGINT