Недостатки валидации в GitHub позволяют «рисовать» граффити в чужих профилях, используя историю коммитов. Для этого требуется, чтобы пользователь открыл issue или отправил pull request в репозиторий, куда есть доступ, и чтобы был известен его email, использованный при регистрации.
Эта возможность может быть использована для обозначения недобросовестных пользователей, например, тех, кто занимается фишингом или внедряет вредоносный код. Оставив таким образом «черную метку» в профиле злоумышленника, можно предупредить других пользователей о его намерениях.
Для этого можно воспользоваться инструментом для рисования граффити в графиках активности и указать email-адрес пользователя, который пытался совершить мошеннические действия. Адрес можно найти через API событий или просмотрев историю коммитов в его репозиториях.
Однако, уязвимость может быть использована и в злонамеренных целях, например, для оскорблений или клеветы. Решением могло бы стать формирование графика активности на основе событий пушей, а не данных коммитов, но это может затронуть пользователей, которые отправляют большое количество коммитов за раз.
Изображение носит иллюстративный характер
Эта возможность может быть использована для обозначения недобросовестных пользователей, например, тех, кто занимается фишингом или внедряет вредоносный код. Оставив таким образом «черную метку» в профиле злоумышленника, можно предупредить других пользователей о его намерениях.
Для этого можно воспользоваться инструментом для рисования граффити в графиках активности и указать email-адрес пользователя, который пытался совершить мошеннические действия. Адрес можно найти через API событий или просмотрев историю коммитов в его репозиториях.
Однако, уязвимость может быть использована и в злонамеренных целях, например, для оскорблений или клеветы. Решением могло бы стать формирование графика активности на основе событий пушей, а не данных коммитов, но это может затронуть пользователей, которые отправляют большое количество коммитов за раз.
