太恶心人了, 今天 star 一个艺术二维码仓库 qrbtf, 刚 star 完没有一分钟, 邮箱就收到了一封邮件, 自称 OSCS 社区,提醒我刚才关注的这个仓库有 30 个安全风险。
假借安全风险提示, 实则推销自己的网站,IDEA 插件以及诱导添加企业微信好友。
吐了。
看图:
1
dcsite 2022-06-06 22:54:21 +08:00 2
对此信息不敢兴趣?
|
2
eason1874 2022-06-06 22:55:05 +08:00 1
这网站做得不错,不过自动扫描第三方邮件去发通知就完全是骚扰式推广
|
3
wdssmq 2022-06-06 22:55:41 +08:00 1
直接举报垃圾邮件 - -
|
4
dem0ns 2022-06-06 23:00:33 +08:00 19
|
5
chenxytw 2022-06-06 23:09:54 +08:00 7
@dcsite 以我认知,会发这种信息的实体,对于反馈了“不感兴趣”的用户的反应是:“这是一个活人,我们要更猛烈的去骚扰他,他一定会动心的。”
|
6
dem0ns 2022-06-06 23:11:12 +08:00
接上面回复,issues 里部分内容被删了,不过删了什么内容可以大致脑补下
|
7
Buges 2022-06-06 23:39:11 +08:00 via Android
直接把他的邮件 mark as spam ,减他权重。直接退订估计会把你邮箱加到更多营销列表。
建议 GitHub 上不要公开邮箱,把 GitHub 自动生成的那个邮箱添加到 git config 里。 |
9
festoney8 2022-06-07 03:03:50 +08:00 1
|
10
pengtdyd 2022-06-07 07:11:20 +08:00 1
|
11
Greenm 2022-06-07 08:21:53 +08:00 via iPhone
这个墨菲安全早就臭名昭著了,不止你一个人遇到这种情况
|
12
nothingistrue 2022-06-07 09:39:56 +08:00 2
这种自动邮件,是模板生成的,标记垃圾邮件,一标记一个准。切记不要点不感兴趣、退订这些,你只要点了,你就被识别成活人了。
|
13
besscroft 2022-06-07 09:47:26 +08:00 1
直接举报垃圾邮件,如果有 GitHub bot ,也顺便举报了吧。之前墨菲安全的应该是被很多人举报过了,然后对应的 bot 账号都没了。
|
14
patrickyoung 2022-06-07 10:01:49 +08:00
他家不是第一次这样了,之前才出来的时候就这样。
|
15
patrickyoung 2022-06-07 10:04:52 +08:00
之前他家才起步的时候,发 Spam Issue 和 PR ,然后大半夜的给我吵醒了,说我的漏洞靶场项目有漏洞...请问一下您,靶场项目没漏洞叫什么靶场...
然后去圈子里群里怼人,才停了。看起来消停了没两个月,又来了... 大家一起 SEO 吧: 墨菲安全垃圾 墨菲安全滥发垃圾邮件 murphysec 骚扰开发者 |
16
shuxhan 2022-06-07 10:04:54 +08:00
之前我自己的开源项目也被发了这个邮件 真的烦人不过我没理他
|
17
patrickyoung 2022-06-07 10:12:45 +08:00 2
https://support.github.com/contact/report-abuse?category=report-abuse&report=murphysecurity&report_type=user
请大家帮忙一起 Report Spam ,直接让 GH ban 了他们生产账号吧。 |
18
c4erus 2022-06-07 10:39:12 +08:00
之前看到有个朋友的开源项目加了他那个徽章,挺有意思 https://github.com/dromara/fast-request 。前两天我的项目也收到这个提醒邮件了,我个人是觉得还行,之前写代码做开源确实没注意到有这么多安全问题。不过这个邮件刚开始咋一看确实会觉得是推广,想着谁没事会关心我的项目的安全呢:)
|
19
lesismal 2022-06-07 11:47:02 +08:00
我也收到过:
https://github.com/lesismal/arpc/issues/32 他们好多营销用的号来 open issue ,过阵子这个号就 ghost 了 他们中间还有一些个人账号也留言来着但是很快就把个人账号的回复删除了 其实如果不是对单个仓库频繁来袭击也还好,毕竟也能帮助排查些安全问题 |
21
Bingchunmoli 2022-06-07 17:10:18 +08:00
遇见过,说的是 log4j 的漏洞,然而我的项目是 logback 专门因为漏洞防止有问题,导入了当时最新的 log4j2 他就发 iss 挺烦的。依赖问题没办法避免,而且安全第一要先私下告知,修复后公开(或者一定时间后)。这是正常流程
|
22
azusematsuri 2022-06-08 23:25:44 +08:00 via Android
只盯着中文和中国人开发者发?简单,在 github 上不用中文字
|