尽管数据泄露事件不断增加,但开发人员仍未警惕。大量的开发人员在编码中仍然存在暴露明文凭证(如API密钥、密码和身份验证令牌)等问题,而这些举动都会带来重大的安全风险。
据安全公司GitGuardian透露,在整个2024年,开发人员向GitHub提交的代码中包含了超过2300万个新的硬编码机密信息。硬编码是指将敏感信息直接嵌入到代码中——网络安全专家已将这种做法标记为不安全。
尽管GitHub努力在代码推送阶段防止机密泄露,但目前的研究表明,与去年相比,泄露事件增加了25%。
“通用秘密(generic secrets)”是开发者未能保护的、增长最快的秘密类别,占所有泄露秘密的惊人的58%。
其中包括:
硬编码密码嵌入在源代码中。
数据库连接字符串。
“自定义身份验证令牌”。
加密密钥以明文形式存储。
“通用秘密”包括硬编码的密码和数据库凭证,由于它们缺乏标准化模式,因此更难检测和修复。例如,这些机密可以绕过GitHub的内置机密扫描。
MongoDB,一种广泛使用的开源文档数据库,是2024年泄露凭证的主要来源,在公共存储库中检测到的秘密中占18.8%,而在私有存储库中仅占3.9%。
Telegram机器人令牌在公共存储库中发现的秘密中占6.3%,但在私有存储库中几乎不存在。这与大多数企业不将Telegram集成到其工作流程中的事实相符。
私有存储库中的十大特定秘密
公共存储库中的十大特定秘密
研究人员发现,私有存储库包含硬编码机密的可能性是公共存储库的八倍。在所有被扫描的私有存储库中,有35%至少包含一个明文凭证。
GitHub上的私有存储库存储的代码和文件仅对被授予访问权限的人可用,这与公共存储库形成对比。在这些存储库中,几乎四分之三的泄露秘密都是通用的。
来源:GitGuardian
“我们将来自公共GitHub的发现与匿名客户数据进行了比较。报告显示,开发人员在公共代码和私有代码中对机密的处理方式不同。”研究人员表示:“这种趋势表明,组织可能在依赖‘隐匿式安全’,他们认为由于其存储库是私有的,所以其中包含的秘密是安全的。”
在私有存储库中,所发现的所有通用秘密中有24%是通用密码,而在公共仓库中所发现的所有通用秘密中这一比例为9%。
虽然存储库的私有状态会给人一种虚假的安全感,但获得访问权限的攻击者可以轻松利用泄露的秘密来扩大其攻击范围,并在系统间横向移动,而无人能够阻止他们。
数据泄露是一个影响各种平台和应用程序的普遍问题。网络新闻对iOS应用程序新进行的研究表明,没有人能免受秘密泄露的影响。
Cybernews研究团队分析了超过15.6万个应用程序,发现了超过81.5万个泄露的硬编码秘密。结果显示,苹果应用商店中的大多数应用程序似乎至少泄露了一个硬编码秘密,包括对云存储、各种API甚至支付处理器的密钥等高敏感度秘密。
原文始发于微信公众号(安在):2300万个机密信息在GitHub上泄露,但开发人员仍选择硬编码密码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论