Cualquiera puede acceder a data borrada o repositorios privados en GitHub

Se puede acceder a informacion borrada de forks que ya no existen, de repositorios borrados e incluso de repositorios privados de GitHub. Y esta disponible para siempre. Y GitHub lo sabe, y lo diseño intencionalmente de esa forma.

PERO COMO PUEDE SER, se estaran preguntando?

Tengamos en cuenta el siguiente caso:

1. Haces un fork de un repositorio publico
2. Commiteas codigo en tu propio fork
3. Borras tu fork

El codigo que commmiteaste, podes accederlo? No deberia, no? Ya lo borraste. Bueno, no. Queda accesible. Para siempre. Fuera de tu control.

"Ay, no sean fatalistas, no pasa nada con ese caso"

El autor del articulo original hizo una revision rapida de 3 repositorios publicos que tienen mucha actividad de una empresa de AI, y encontro al menos 40 API Keys validas de repositorios que fueron borrados. Algo asi, digamos:

1. Forkear el repo
2. Hardcodea la API Key en un archivo de ejemplo
3. Escribir tu codigo
4. Borarr el fork

Quisiera decirles que hay un final feliz en esto... pero no parece ser el caso. Basicamente, si ALGUNA VEZ commiteaste una key, cambiala inmediatamente.

En el articulo original pueden encontrar videos, explicacion tecnica de porque funciona asi, la respuesta de parte de Github al problema (basicamente not a bug, a feature) y mas informacion valiosa a tener en cuenta. Es algo importante para saber para todos los equipos que usan GitHub.

Source: Anyone can Access Deleted and Private Repository Data on GitHub