Meu Projeto da Faculdade no GitHub e a Chave de API que Nunca Deveria Estar Lá
Fala, pessoal!
Quero deixar um alerta rápido, nascido de um susto que passei. Sabe aquele projeto da faculdade que a gente faz na correria para entregar? O meu precisava enviar e-mails de notificação.
Para fazer isso de forma "fácil", usei uma "Senha de App" do meu Gmail. E na pressa, cometi o erro clássico que a gente sempre ouve para não cometer: deixei a chave lá, escrita no meio do código, e mandei tudo para um repositório público no GitHub. 🤦♂️
A ficha só caiu da pior maneira possível. Apesar de ser uma conta de teste ela realmente foi de fato invadida. O invasor começou a usá-la para disparar SPAM e e-mails estranhos para pessoas aleatórias em alemão. E nesse momento que eu lembrei: a chave do meu projeto da faculdade, pública no GitHub, deve ter sido o motivo disso tudo.
A solução foi correr:
-
Invalidar a senha de app antiga imediatamente na minha conta Google.
-
Remover a chave do código e dar um novo commit (ciente de que o ideal é limpar o histórico).
-
Aprender a lição e usar variáveis de ambiente (.env) para a nova chave, com o arquivo .env devidamente listado no .gitignore.
Fica o alerta, principalmente para quem está começando ou na correria da faculdade: cuidado com o que vocês sobem para o GitHub. Aquilo que parece só "código de um trabalho" contém credenciais que podem abrir portas para grandes dores de cabeça.
Não cometam o mesmo erro que eu.
#Segurança #GitHub #Alerta #Desenvolvimento #Faculdade