# Dados Excluídos Acessíveis no Github {{#include ../../banners/hacktricks-training.md}} Essas maneiras de acessar dados do Github que supostamente foram excluídos foram [**reportadas neste post do blog**](https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github). ## Acessando Dados de Forks Excluídos 1. Você faz um fork de um repositório público. 2. Você comita código no seu fork. 3. Você exclui seu fork. > [!CAUTION] > Os dados comitados no fork excluído ainda são acessíveis. ## Acessando Dados de Repositórios Excluídos 1. Você tem um repositório público no GitHub. 2. Um usuário faz um fork do seu repositório. 3. Você comita dados após eles fazerem o fork (e eles nunca sincronizam seu fork com suas atualizações). 4. Você exclui o repositório inteiro. > [!CAUTION] > Mesmo que você tenha excluído seu repositório, todas as alterações feitas nele ainda são acessíveis através dos forks. ## Acessando Dados de Repositórios Privados 1. Você cria um repositório privado que eventualmente será tornado público. 2. Você cria uma versão interna privada desse repositório (via fork) e comita código adicional para recursos que você não vai tornar públicos. 3. Você torna seu repositório “upstream” público e mantém seu fork privado. > [!CAUTION] > É possível acessar todos os dados enviados para o fork interno no período entre a criação do fork interno e a versão pública sendo tornada pública. ## Como descobrir commits de forks excluídos/ocultos O mesmo post do blog propõe 2 opções: ### Acessando diretamente o commit Se o valor do ID do commit (sha-1) for conhecido, é possível acessá-lo em `https://github.com///commit/` ### Forçando valores SHA-1 curtos É o mesmo para acessar ambos: - [https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14](https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14) - [https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463](https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463) E o último usa um sha-1 curto que é forçável. ## Referências - [https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github](https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github) {{#include ../../banners/hacktricks-training.md}}