Pengguna GitHub menunjukkan reaksi beragam terhadap OSGINT, sebuah alat yang dirancang untuk mengekstrak informasi pribadi dari profil GitHub, dengan kekhawatiran khusus mengenai kemampuannya untuk mengungkap alamat email yang mungkin ingin dirahasiakan oleh pengguna.
OSGINT, yang dikembangkan oleh seorang pengguna bernama Hippie, memungkinkan siapa saja untuk mengambil informasi tentang pengguna GitHub dengan mencari nama pengguna atau alamat email. Meskipun alat ini terutama mengumpulkan data yang tersedia untuk umum seperti detail profil, jumlah repositori, dan tanggal pembuatan, kemampuannya untuk mengekstrak alamat email dari berbagai sumber telah memicu perdebatan privasi di kalangan komunitas pengembang.
Kemampuan Ekstraksi Email
Alat ini menggunakan beberapa metode untuk menemukan email pengguna, termasuk memindai commit publik, mendekode kunci GPG, dan bahkan melakukan spoofing commit untuk mengungkapkan alamat email terkait. Pendekatan komprehensif ini berarti OSGINT sering dapat menemukan alamat email yang mungkin tidak disadari pengguna bahwa alamat tersebut dapat diakses publik.
Seorang pengguna yang menguji alat ini mengonfirmasi bahwa alat tersebut secara akurat mengambil informasi profil mereka tetapi mencatat bahwa alat tersebut juga mengumpulkan email dari kontributor repositori mereka, yang berpotensi menciptakan kebingungan tentang email mana yang sebenarnya milik pengguna target:
Pretty much spot on, except for the emails. The ones with username
zellynare correct; the others are people who've contributed changes to repos I created (I think).
Fitur-fitur OSGINT
- Menemukan nama pengguna GitHub dari sebuah email
- Menemukan email dari nama pengguna GitHub (tidak selalu berhasil)
- Mengambil informasi profil termasuk:
- Tanggal pembuatan akun
- Gist publik
- ID pengguna
- Kunci PGP publik
- Kunci SSH publik
Metode Penemuan Email
- Memindai semua commit publik untuk email yang tidak disembunyikan
- Mendekode kunci GPG untuk mengekstrak informasi email
- Mengirim kueri ke API pengguna GitHub
- Memalsukan commit dengan email target untuk memeriksa riwayat commit
Kekhawatiran Privasi dan Utilitas
Reaksi komunitas menyoroti kekhawatiran signifikan tentang siapa yang mendapat manfaat dari alat semacam ini. Beberapa pengguna mempertanyakan apakah OSGINT terutama melayani tujuan penelitian keamanan yang sah atau hanya memungkinkan spammer dan rekruter untuk mengumpulkan informasi kontak dengan lebih efisien. Seorang komentator langsung bertanya, Siapa yang mendapat manfaat dari ini selain spammer? sementara yang lain mengeluh, Tepat ketika para rekruter berhenti mengirim spam kepada saya melalui GitHub...
Beberapa pengembang menunjukkan bahwa sebagian besar informasi yang dikumpulkan OSGINT sudah terlihat di halaman profil GitHub, dengan alamat email sebagai pengecualian utama. Yang lain menyarankan metode lebih sederhana untuk mengakses data yang sama, seperti menambahkan .patch ke URL commit.
Alat Serupa dalam Ekosistem
Diskusi ini juga mengungkapkan bahwa OSGINT bukanlah satu-satunya dalam bidang ini. Layanan lain bernama RepoReach disebutkan sebagai penyedia fungsionalitas serupa, meskipun pengguna mengungkapkan kekhawatiran tambahan tentang kurangnya transparansi platform tersebut mengenai kebijakan privasi dan persyaratan untuk registrasi.
Seiring alat intelijen sumber terbuka (OSINT) menjadi lebih mudah diakses dan lebih kuat, komunitas GitHub terus memperdebatkan keseimbangan antara transparansi, penelitian keamanan, dan privasi pribadi. Bagi pengembang yang khawatir tentang jejak digital mereka, diskusi ini menyoroti pentingnya memahami informasi pribadi mana yang mungkin dapat diakses publik melalui kontribusi kode dan detail profil mereka.
Beberapa pengguna merespons dengan humor, menunjuk pada praktik menggunakan nama samaran daripada nama asli di GitHub, menautkan ke profil seperti elonmusk dan donaldtrump sebagai contoh bagaimana beberapa pengguna menjaga privasi melalui anonimitas daripada langkah-langkah teknis.
Referensi: OSGINT