Миллионы слитых ключей, паролей и токенов стали лакомой добычей для киберпреступников.
В 2023 году пользователи GitHub непреднамеренно обнародовали порядка 12,8 миллиона учётных данных и других конфиденциальных секретов в более чем 3 миллионах публичных репозиториев.
ИБ-специалисты из GitGuardian, исследуя эту проблему, отправили 1,8 миллиона предупреждающих писем владельцам аккаунтов, однако менее 2% из них оперативно устранили утечку.
Среди обнародованных секретов нашлись пароли аккаунтов, API-ключи, сертификаты TLS/SSL, ключи шифрования, учётные данные облачных сервисов, токены OAuth и другие данные, делающие возможным несанкционированный доступ к ресурсам и сервисам, что влечёт за собой угрозу утечки данных и финансовых потерь.
Отчёт компании Sophos за 2023 год указывает, что скомпрометированные учётные данные стали причиной 50% всех атак в первой половине года, существенно опережая эксплуатацию уязвимостей, отвечавших за 23% случаев.
GitGuardian подчёркивает, что проблема утечки секретов на GitHub, самой популярной платформе для хостинга кода и совместной работы, обострилась начиная с 2020 года.
Миллионы секретов, раскрываемые на GitHub каждый год
Больше всего утечек в 2023 году было зафиксировано в Индии, США, Бразилии, Китае, Франции, Канаде, Вьетнаме, Индонезии, Южной Корее и Германии.
В отраслевом разрезе больше всего секретов утекло из IT-сектора (65,9%), за ним следует образование (20,1%), а на все остальные вместе взятые отрасли (наука, розничная торговля, производство, финансы, государственное управление, здравоохранение, развлечения, транспорт) приходится около 14% утечек.
Среди специфических утечек доминируют ключи Google API и Google Cloud, учётные данные MongoDB, токены Telegram-ботов, учётные данные MySQL и PostgreSQL, а также ключи GitHub OAuth.
Замечено, что только 2,6% утекших секретов были отозваны в первый час после утечки, тогда как ошеломляющие 91,6% оставались активными даже спустя пять дней. Такие компании, как Riot Games, GitHub, OpenAI и AWS, продемонстрировали наилучшие механизмы реагирования на утечки.
В 2023 году наблюдался взрывной рост использования генеративных ИИ-инструментов, что также сказалось и на количестве утечек соответствующих секретов. Так, GitGuardian зафиксировал средний рост количества утекших ключей API OpenAI в 1212 раз по сравнению с 2022 годом.
В последнем месяце GitHub активировал защиту от случайного обнародования секретов по умолчанию, чтобы предотвратить подобные инциденты в будущем.
Утечка миллионов секретов через общедоступные репозитории на GitHub служит серьезным предупреждением для всего сообщества разработчиков. Это показывает, насколько важно строго относиться к безопасности, не допуская небрежного обращения с конфиденциальными данными.
Инциденты подобного рода подрывают доверие к проектам с открытым исходным кодом и могут привести к финансовым потерям, взломам и другим серьезным последствиям.
Разработчикам необходимо повысить бдительность, внедрить надежные практики защиты секретов и оперативно реагировать на любые утечки. Только ответственный подход обеспечит безопасность кода и сохранность ценных данных проектов.
Ладно, не доказали. Но мы работаем над этим