Бесплатно Экспресс-аудит сайта:

03.07.2024

12,8 миллионов утечек: фантомные секреты наводят страх на разработчиков

Согласно недавнему отчету исследователей из компании Aqua Security , проблема утечки конфиденциальных данных в репозиториях кода приобретает все более серьезный характер. Эксперты выявили так называемые «фантомные секреты» — конфиденциальную информацию, которая остается доступной даже после ее предполагаемого удаления из кода.

По данным GitGuardian , в 2023 году было обнаружено почти 12,8 миллионов новых случаев утечки секретов в коммитах GitHub , что почти на 3 миллиона больше, чем в предыдущем году. Для сравнения, в 2020-ом это число составляло всего 3 миллиона.

Некоторые секреты, такие как API-токены, учетные данные и ключи доступа, оставались открытыми в течение многих лет. Еще более тревожным является тот факт, что большинство методов сканирования попросту пропускают нарушения. По оценкам экспертов, около 18% секретов в Git-репозиториях могут остаться незамеченными.

Проблема связана с тем, как системы управления исходным кодом (SCM), такие как GitHub, Bitbucket и GitLab, сохраняют удаленные или обновленные коммиты. Даже единожды использованный в коде секрет или секрет, который считается удаленным, может оставаться доступным.

Исследование охватывает 100 крупнейших организаций на GitHub. В общей сложности было проанализировано более 52 000 публично доступных репозиториев. Результаты оказались тревожными: обнаружены уязвимости, позволяющие получить доступ к критически важным ресурсам крупнейших мировых организаций. Среди потенциально скомпрометированных систем оказались:

  • Полные облачные среды
  • Внутренняя инфраструктура фаззинга конфиденциальных проектов
  • Платформы телеметрии
  • Сетевые устройства
  • Секреты SNMP
  • Видеозаписи с камер компаний из списка Fortune 500
Среди конкретных примеров — API-токен для FuzzManager компании Mozilla, который предоставил доступ к внутренним данным фаззинга, обычно хранящимся в секрете. Также были найдены привилегированные API-токены для Cisco Meraki Dashboard, позволяющие управлять сетевыми ресурсами организаций.

Аналитики подчеркивают необходимость решения проблемы «фантомных секретов» для защиты разработчиков и их проектов. Они рекомендуют использовать комплексный подход, который включает в себя:

  • Обучение разработчиков безопасным практикам кодирования
  • Внедрение специализированных инструментов для управления секретами
  • Автоматизированное сканирование кода на наличие уязвимостей перед его публикацией в открытых репозиториях
Несмотря на растущее понимание проблемы, разработчики по-прежнему остаются привлекательной мишенью для злоумышленников. Это обусловлено двумя основными факторами:
  • Доступом разработчиков к конфиденциальной информации и критически важным системам
  • Расширением поверхности атаки, связанным с увеличением использования открытого исходного кода и распространением облачных технологий разработки