# Dostępne usunięte dane w Github

{{#include ../../banners/hacktricks-training.md}}

Sposoby na dostęp do danych z Github, które rzekomo zostały usunięte, zostały [**zgłoszone w tym wpisie na blogu**](https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github).

## Dostęp do usuniętych danych forków

1. Forkujesz publiczne repozytorium
2. Wprowadzasz zmiany w swoim forku
3. Usuwasz swój fork

> [!CAUTION]
> Dane wprowadzone w usuniętym forku są nadal dostępne.

## Dostęp do usuniętych danych repozytoriów

1. Masz publiczne repozytorium na GitHubie.
2. Użytkownik forkował twoje repozytorium.
3. Wprowadzasz dane po tym, jak oni je forkowali (i nigdy nie synchronizują swojego forka z twoimi aktualizacjami).
4. Usuwasz całe repozytorium.

> [!CAUTION]
> Nawet jeśli usunąłeś swoje repozytorium, wszystkie zmiany wprowadzone do niego są nadal dostępne przez forki.

## Dostęp do danych prywatnych repozytoriów

1. Tworzysz prywatne repozytorium, które ostatecznie zostanie udostępnione publicznie.
2. Tworzysz prywatną, wewnętrzną wersję tego repozytorium (poprzez forkowanie) i wprowadzasz dodatkowy kod dla funkcji, które nie będą publiczne.
3. Udostępniasz swoje repozytorium "upstream" publicznie i zachowujesz swój fork prywatnie.

> [!CAUTION]
> Możliwe jest uzyskanie dostępu do wszystkich danych przesłanych do wewnętrznego forka w czasie między utworzeniem wewnętrznego forka a udostępnieniem publicznej wersji.

## Jak odkryć commity z usuniętych/ukrytych forków

Ten sam wpis na blogu proponuje 2 opcje:

### Bezpośredni dostęp do commita

Jeśli znana jest wartość ID commita (sha-1), możliwe jest uzyskanie do niego dostępu pod adresem `https://github.com/<user/org>/<repo>/commit/<commit_hash>`

### Bruteforce'owanie krótkich wartości SHA-1

Dostęp do obu z nich jest taki sam:

- [https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14](https://github.com/HackTricks-wiki/hacktricks/commit/8cf94635c266ca5618a9f4da65ea92c04bee9a14)
- [https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463](https://github.com/HackTricks-wiki/hacktricks/commit/8cf9463)

A ten ostatni używa krótkiego sha-1, który można złamać.

## Odnośniki

- [https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github](https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github)

{{#include ../../banners/hacktricks-training.md}}