数以万计的公司机密曝光被这个人发现了

如果您知道在哪里查找，可以在网上找到很多秘密。自2021年秋季以来，独立安全研究员BillDemirkapi(德米尔卡皮)一直在建立方法，利用研究人员经常忽视的庞大数据源来发现大量安全问题。

这包括自动查找开发人员的机密（例如密码、API密钥和身份验证令牌），这些机密可能使网络犯罪分子能够访问公司系统并窃取数据。

在拉斯维加斯举行的Defcon安全会议上，德米尔卡皮公布了这项工作的成果，详细介绍了大量泄露的机密和更广泛的网站漏洞。

在至少15,000个硬编码到软件中的开发人员机密中，他发现了数百个与内布拉斯加州最高法院及其IT系统相关的用户名和密码详细信息；访问斯坦福大学Slack频道所需的详细信息；以及属于OpenAI客户的一千多个API密钥。

一家大型智能手机制造商、一家金融科技公司的客户以及一家价值数十亿美元的网络安全公司都是无意中泄露机密的数千家组织之一。为了阻止这种趋势，德米尔卡皮开发了一种自动撤销详细信息的方法，使它们对任何黑客都毫无用处。

在这项研究的第二部分中，德米尔卡皮还扫描了数据源，发现66,000个网站存在悬而未决的子域名问题，这使得它们容易受到包括劫持在内的各种攻击。世界上一些最大的网站，包括《纽约时报》拥有的一个开发域名，都存在这些弱点。

虽然他研究的两个安全问题在研究人员中广为人知，但德米尔卡皮表示，转向通常用于其他目的的非常规数据集，可以大规模识别数千个问题，如果扩大范围，则有可能帮助保护整个网络。“我们的目标是找到大规模发现琐碎漏洞类别的方法，”德米尔卡皮告诉《连线》杂志。“我认为创造性解决方案存在差距。”

泄露的秘密；易受攻击的网站

开发人员意外将公司机密包含在软件或代码中相对来说是小菜一碟。在整个软件开发流程中，开发人员可能会无意中硬编码或泄露各种各样的机密。这些机密可能包括密码、加密密钥、API访问令牌、云提供商机密和TLS证书。

将机密硬编码的最大风险是，如果数字认证凭证和机密被泄露，它们可能会让对手未经授权访问公司的代码库、数据库和其他敏感数字基础设施。

风险很高：泄露的机密可能导致数据泄露、黑客入侵网络和供应链攻击。

2019年的一项研究发现，每天有数千个机密在GitHub上泄露。虽然存在各种机密扫描工具，但这些工具主要针对特定目标，而不是更广泛的网络。

在他的研究过程中，德米尔卡皮（五年前因青少年时期入侵校园而首次出名）大规模地寻找这些密钥，而不是选择一家公司并专门寻找其秘密。

为此，他求助于谷歌旗下的网站VirusTotal，该网站允许开发人员上传文件（例如应用程序）并扫描其中是否存在潜在恶意软件。

VirusTotal的Retrohunt功能允许扫描一年的上传文件，并使用YARA规则，该规则可以查找数据中的特定模式。

使用复杂的无服务器设置，德米尔卡皮表示他扫描了超过150万个样本以寻找秘密，并验证了他发现的模式是活动密钥。

为了确定秘密和密钥没有过期，他对它们执行了API调用。总的来说，德米尔卡皮发现了超过15,000个各种类型的活动秘密。

在大量暴露的密钥中，有些密钥可以让攻击者访问公司和组织的数字资产，包括获取敏感数据的可能性。

例如，内布拉斯加州最高法院的一名成员上传了与其IT系统相关的用户名和密码的详细信息，而斯坦福大学的Slack频道可以使用API密钥访问。

内布拉斯加州法院行政官CoreyR.Steel表示，所有被曝光的信息都已立即更改，没有证据表明这些信息被滥用，并且已更改政策以防止将来再发生类似事件。这些问题在被报告后很快就得到了解决。

德米尔卡皮还搜索了被动DNS复制数据，以搜索存在悬空子域名问题的网站。易受攻击的网站可能会被冒充，用于部署恶意软件或钓鱼页面、窃取cookie等等。

悬空域名非常普遍，攻击者很容易找到高价值目标。任何时候都有数以万计的悬空记录被暴露，较大的域名更容易受到此问题的影响，因为它们更难管理，而且出现人为错误的可能性更大。

例如，德米尔卡皮曾在《纽约时报》制作域名上短暂发表了一篇（几乎令人信服的）讽刺文章，标题为“美国在紧张局势升级之际向俄罗斯宣战，给国际社会带来冲击”。德米尔卡皮说，这篇文章在大约一周后被删除。

研究人员表示，通过从悬空云资源入手，而不是寻找特定域或域集的问题，可以系统地发现问题。总体而言，他发现与66,000个顶级域相关的78,000多个悬空云资源。学术研究采用了类似的技术，使用被动DNS复制数据，但从URL开始，他表示他的方法能够发现更多问题。

没有简单的解决办法

找到数千个易受攻击的网站和暴露的机密是一回事，修复它们又是另一回事。虽然德米尔卡皮表示不可能向所有存在悬而未决的域名问题的网站发出警报，但他已经设法找到了清理15,000个硬编码机密的方法。

一些德米尔卡皮直接向受影响的公司报告。但他也向那些向客户提供凭证的人寻求帮助，看看是否有更有效的方法来报告被泄露的机密。2月，这位研究人员报告了1,000多个被泄露的OpenAIAPI密钥。该公司向他提供了一个公共自助服务API密钥，允许自动撤销被泄露的详细信息。（OpenAI公司发言人NikoFelix表示，该API“可以自动停用任何被检测到被泄露的密钥”，并确保客户的安全。）

其他情况就没那么顺利了。GitHub拥有超过4.2亿个代码存储库，多年来一直运行自己的“秘密扫描”工具，可以检测上传到其网站的令牌和密钥。它与外部公司合作，以便可以报告这些密钥并可能撤销这些密钥。3月份，德米尔卡皮询问GitHub是否有一个可公开使用的端点，他可以在那里报告秘密，以便快速标记他发现的数千个秘密。该公司发言人表示，它没有针对个人的系统。

德米尔卡皮向亚马逊网络服务公司求助，但该公司拒绝向他提供其为供应商提供的现有报告工具。“我们坚信，客户凭证（包括安全密钥）完全属于客户。AWS不授予外部用户管理或撤销安全密钥的权限，因为这会违反安全策略并削弱客户信任，”AWS发言人表示，人们可以向其安全团队发送电子邮件，当它意识到密钥被泄露时会通知客户。

为了绕过这些限制，德米尔卡皮转向GitHub并开始上传机密以触发公司的机密扫描并报告。

“我找到了一种完全不向公众公开的方法，”德米尔卡皮谈到他破解的在笔记中上传机密的自动方法时说道。

最终，德米尔卡皮表示，他选择了容易实现的研究成果。检测硬编码的秘密或检测资源是否悬而未决，这些都是相当简单的漏洞类别，在大型数据源中可能会检测到更复杂的漏洞。可能有大量未开发的数据库可以帮助解决安全问题。

原文始发于微信公众号（网络研究观）：数以万计的公司机密曝光被这个人发现了