GitHub ユーザーは、GitHub プロフィールから個人情報を抽出するように設計された OSGINT ツールに対して様々な反応を示しており、特にユーザーがプライベートに保ちたいと考えていたメールアドレスを発見する能力について懸念を表明しています。
Hippie という名前のユーザーによって開発された OSGINT は、ユーザー名またはメールアドレスを検索することで、GitHub ユーザーに関する情報を誰でも取得できるようにします。このツールは主にプロフィールの詳細、リポジトリ数、作成日などの公開情報を収集しますが、様々なソースからメールアドレスを抽出する機能が開発者コミュニティ内でプライバシーに関する議論を引き起こしています。
メール抽出機能
このツールは、公開コミットのスキャン、GPG キーのデコード、さらにはコミットのスプーフィングによる関連メールアドレスの公開など、ユーザーのメールを発見するためにいくつかの方法を採用しています。この包括的なアプローチにより、OSGINT はユーザーが公開されていると認識していないメールアドレスを見つけることができることが多いです。
このツールをテストしたあるユーザーは、自分のプロフィール情報が正確に取得されたことを確認しましたが、自分のリポジトリの貢献者からもメールが収集され、どのメールが実際にターゲットユーザーに属しているのかについて混乱が生じる可能性があることを指摘しました:
「ほぼ正確ですが、メールについては例外です。ユーザー名
zellynのものは正しいですが、他のものは私が作成したリポジトリに変更を加えた人々のものです(たぶん)。」
OSGINTの機能
- メールアドレスから GitHub ユーザー名を検索
- GitHub ユーザー名からメールアドレスを検索(常に成功するわけではない)
- 以下を含むプロフィール情報の取得:
- アカウント作成日
- 公開されている Gist
- ユーザーID
- 公開 PGP キー
- 公開 SSH キー
メールアドレス発見方法
- 非表示になっていないメールアドレスを含む全ての公開コミットをスキャン
- GPG キーをデコードしてメール情報を抽出
- GitHub ユーザー API へのクエリ
- 対象のメールアドレスでコミットを偽装し、コミット履歴を確認
プライバシーと有用性に関する懸念
コミュニティの反応は、このようなツールが誰に利益をもたらすかについて重大な懸念を浮き彫りにしています。何人かのユーザーは、OSGINT が主に正当なセキュリティ研究目的に役立つのか、単にスパマーやリクルーターがより効率的に連絡先情報を収集できるようにするだけなのかと疑問を呈しました。あるコメンターは直接「これはスパマー以外の誰に利益をもたらすのか?」と尋ね、別のユーザーは「リクルーターが GitHub を通じて私にスパムを送るのをやめた矢先に...」と嘆きました。
一部の開発者は、OSGINT が収集する情報の多くはすでに GitHub のプロフィールページで見ることができ、メールアドレスが主な例外であると指摘しました。他の人々は、コミット URL に .patch を追加するなど、同じデータにアクセスするためのより簡単な方法を提案しました。
エコシステム内の類似ツール
議論では、OSGINT がこの分野で唯一のものではないことも明らかになりました。RepoReach という別のサービスも同様の機能を提供していると言及されましたが、ユーザーはそのプラットフォームのプライバシーポリシーの透明性の欠如や登録要件について追加の懸念を表明しました。
オープンソースインテリジェンス(OSINT)ツールがより身近で強力になるにつれて、GitHub コミュニティは透明性、セキュリティ研究、個人のプライバシーのバランスについて議論を続けています。デジタルフットプリントを気にする開発者にとって、これらの議論は、コード貢献やプロフィールの詳細を通じてどの個人情報が公開されているかを理解することの重要性を強調しています。
一部のユーザーはユーモアを交えて反応し、GitHub で実名ではなく仮名を使用する慣行を指摘し、 elonmusk や donaldtrump などのプロフィールを例として挙げ、一部のユーザーが技術的な対策ではなく匿名性を通じてプライバシーを維持する方法を示しています。
参照: OSGINT