«Резервная копия, это твоя последняя линия обороны, но разместить её в открытом доступе — всё равно что оставить ключ от сейфа на заборе. Обычно кажется, что для слива нужен сложный взлом, но на практике сценарий гораздо проще и уязвимость лежит на поверхности, которую все считают безопасной.»
Сайт, это не только его видимая часть, но и вся его служебная обвязка: файлы конфигурации, базы данных, файлы резервных копий, логи. Если эту техническую начинку выложить в открытый доступ, например, в публичный репозиторий GitHub, то для злоумышленника получение полного контроля превращается из задачи в упражнение. Он не взламывает систему — он просто забирает данные, которые вы ему оставили. При этом в российской IT-практике, особенно в небольших проектах или стартапах, использование GitHub для хранения «рабочих» резервных копий не редкость. Это происходит не из-за халатности, а из-за иллюзии, что раз никто не знает URL, то данные в безопасности. Эту иллюзию разбивают сканеры и автоматические боты, которые целенаправленно ищут подобные утечки.
Как сайты оказываются «слитыми», минуя сложные атаки
Типичный сценарий выглядит так: разработчик или администратор сайта, желая обезопасить данные, создаёт скрипт для автоматического бекапа. Скрипт упаковывает файлы сайта и дамп базы данных в архив и… загружает его в определённую папку на сервере, а затем синхронизирует эту папку с облачным хранилищем или системой контроля версий, например, Git. Если репозиторий Git публичный или содержит публичные ветки, то вместе с кодом в историю коммитов попадает и этот самый архив. Даже если архив позже удалить из последней версии, он может остаться в истории коммитов — в Git ничего не удаляется окончательно без специальных команд.
Злоумышленники используют специализированные инструменты для сканирования GitHub, GitLab и других открытых площадок. Они ищут по ключевым словам: .sql, dump, backup, config, .env, password, secret. Найденный архив с резервной копией содержит всю необходимую информацию:
- Файлы конфигурации (например,
wp-config.phpдля WordPress) с логинами и паролями к базе данных. - Дамп самой базы данных со всеми пользователями, их хешами паролей, содержимым, служебными записями.
- Исходный код с потенциальными уязвимостями, которые можно проанализировать статически.
- Структуру файлов и каталогов, что облегчает дальнейшее исследование. Получив эти данные, злоумышленник получает полную картину о сайте. Он не тратит время на подбор паролей или поиск уязвимостей — у него уже есть доступ к базе данных и структуре. Далее следует самый простой шаг — смена административного пароля на известный ему через консоль базы данных или загрузка веб-шелла через существующие уязвимости в файлах, которые теперь ему известны.
Почему резервная копия на GitHub — бомба замедленного действия
Хранение резервной копии в системе контроля версий (VCS) кажется логичным шагом с точки зрения истории изменений и доступности. Однако VCS, особенно Git, для этого не предназначен. Это инструмент для управления исходным кодом, а не для хранения бинарных данных большого объёма.
Ключевые проблемы:
- Невольная публикация. Легко забыть, что репозиторий публичный, или ошибиться при настройке видимости. Многие CI/CD-пайплайны по умолчанию могут логировать переменные окружения или создавать артефакты в публичном пространстве.
- Постоянство данных. Удаление файла
git rmне удаляет его из истории. Данные продолжают жить в объектной базе Git. Полное удаление требует выполнения командыgit filter-branchилиgit filter-repo— нетривиальной операции, о которой многие не знают. - Отсутствие шифрования. Резервные копии в Git обычно не шифруются. Даже если доступ к репозиторию ограничен, при компрометации учётной записи GitHub или утечке токена доступа все данные становятся доступными в открытом виде.
С точки зрения злоумышленника, такая утечка — чистая победа. Риск минимален, а отдача максимальна. Нет необходимости проводить шумные атаки на сайт, которые могут быть замечены системами мониторинга. Можно действовать тихо и методично, изучая данные оффлайн.
Что делать, если обнаружил свою резервную копию в открытом доступе
Момент осознания, что конфиденциальные данные «гуляют» в сети, критический. Первая реакция — паника, но действия должны быть быстрыми и системными.
-
Немедленное удаление источника. Удалите файл резервной копии из репозитория. Но помните: простое удаление через веб-интерфейс GitHub или команду
git rmнедостаточно. Необходимо полностью очистить историю Git от этого файла. Для этого нужно использовать инструменты переписывания истории:# Используя git filter-repo (рекомендуется) git filter-repo --path sensitive-backup.zip --invert-pathsПосле очистки истории нужно принудительно отправить изменения на удалённый репозиторий:
git push origin --force --all. -
Смена всех компрометированных учётных данных. Считайте, что все пароли, ключи, токены, которые могли находиться в архиве, известны третьим лицам. Немедленно смените:
- Пароли к базам данных.
- Пароли администраторов сайта (CMS).
- SSH-ключи доступа к серверу.
- API-токены и ключи доступа к облачным сервисам.
-
Анализ инцидента и аудит. Нужно понять, как долго данные были открыты, и попытаться оценить потенциальный ущерб. Проверьте логи сервера на предмет подозрительной активности в период после возможной утечки. Установите, не были ли уже внедрены бэкдоры или изменены файлы.
Как правильно организовать резервное копирование
Главный принцип: резервная копия не должна находиться в той же среде, что и основная система, и тем более в открытом доступе.
- Отдельное защищённое хранилище. Используйте для хранения бекапов выделенные сервисы или серверы, доступ к которым строго ограничен по IP и требует двухфакторной аутентификации. Это могут быть S3-совместимые хранилища российских провайдеров с настроенным шифрованием на стороне сервера.
- Шифрование перед отправкой. Резервная копия должна шифроваться локально, на сервере, перед отправкой в хранилище. Пароль или ключ шифрования никогда не должен попадать в хранилище вместе с архивом. Используйте надёжные алгоритмы, например, AES-256.
# Пример создания зашифрованного архива с помощью openssl tar czf - /path/to/site | openssl enc -aes-256-cbc -salt -out backup.tar.gz.enc - Исключение конфиденциальных данных из Git. В репозиторий с исходным кодом никогда не должны попадать файлы с паролями, ключами или персональными данными. Используйте файлы
.gitignoreдля исключения конфигурационных файлов, а секреты передавайте через переменные окружения. - Регулярное тестирование восстановления. Резервная копия без проверенной процедуры восстановления бесполезна. Периодически проверяйте, что вы можете развернуть сайт из бекапа на тестовом окружении.
Резервное копирование и требования регуляторов
Для проектов, подпадающих под действие 152-ФЗ или требования ФСТЭК, неправильное хранение резервных копий, это не просто технический прокол, а прямое нарушение. Если в резервной копии содержатся персональные данные (ПДн), их утечка через открытый репозиторий подпадает под определение «несанкционированного доступа». Оператор ПДн обязан обеспечить безопасность данных на всех этапах, включая этап хранения резервных копий.
Требования подразумевают:
- Учёт и классификацию носителей информации (включая файлы бекапов).
- Регламентированный доступ к резервным копиям.
- Использование средств криптографической защиты информации (СКЗИ) при передаче и хранении копий вне защищённого периметра.
- Ведение журналов доступа к системам резервного копирования.
Таким образом, выкладка бекапа с ПДн на GitHub, это грубейшее нарушение, которое может повлечь за собой административную, а в отдельных случаях и уголовную ответственность.
Итог
История про «сайт слили за 5 минут из-за бекапа на GitHub» — не про сложный взлом, а про системную ошибку в процессе. Это ошибка на стыке автоматизации и безопасности, где удобство победило бдительность. Уязвимость находилась не в коде сайта, а в сопутствующих процессах, которые часто остаются без должного внимания. Защита строится не только на уровне веб-приложения, но и на уровне процессов разработки, деплоя и, что критически важно, резервного копирования. Резервная копия, это последний рубеж, и доступ к нему должен быть защищён лучше, чем к основной системе.