27.05.2022 | Как данные аутентификации в исходном коде могут привести к масштабным утечкам |
Если бы прошлый год можно было описать с точки зрения кибербезопасности лишь одним выражением, это было бы «атака на цепочку поставок». Атака на цепочку поставок – это когда хакеры вмешиваются в код сторонних компонентов с целью скомпрометировать ПО, в котором они используются. В 2021 году произошел целый ряд громких атак на цепочку поставок (SolarWinds, Kaseya, Codecov и пр.). Какое это имеет отношение к конфиденциальным данным для аутентификации? Самое прямое. К примеру, случай с Codecov является хрестоматийным примером того, как хакеры могут воспользоваться вшитыми учетными данными для получения первоначального доступа к системам жертв и собрать еще больше полезных данных. Вшитые в код данные аутентификации остаются одной из самых недооцененных уязвимостей в сфере безопасности приложений, считает специалист GitGuardian Томас Сегура (Thomas Segura). Конфиденциальными данными аутентификации (так называемыми «секретами») являются ключи API, цифровые сертификаты, токены и т.д., использующиеся в приложениях, сервисах и инфраструктуре. Подобно паролям они нужны для аутентификации пользователя, но в отличие от паролей, они предназначены для распространения. С точки зрения безопасности приложений вшитые в код «секреты» представляют собой уязвимость. Прежде всего потому, что код – актив весьма текучий (например, его можно клонировать или сделать форк), и, соответственно, «секреты» тоже очень текучи. В прошлом году в процессе мониторинга коммитов на GitHub в режиме реального времени GitGuardian зафиксировал более 6 млн утекших данных аутентификации, что в два раза больше, чем в 2020 году. В среднем из 1 тыс. коммитов в трех содержались учетные данные – на 50%, чем годом ранее. Большая часть этих данных предоставляла доступ к корпоративным ресурсам. Не удивительно, почему хакеры, желающие закрепиться в корпоративных системах, сначала изучают открытые репозитории. Многие разработчики используют GitHub для личных проектов и часто по ошибке оставляют там корпоративные учетные данные. С помощью действительных корпоративных учетных данных злоумышленники действуют от лица легитимных пользователей, и вывить вредоносную активность в таком случае очень сложно. Еще одной ошибкой предприятий является разрешение оставлять данные аутентификации в закрытых репозиториях. По данным GitGuardian, в закрытых репозиториях содержится намного больше «секретов», чем в открытых. Хакеры активно ищут на GitHub так называемые «дорки» – легко узнаваемые шаблоны, позволяющие выявлять утекшие данные аутентификации. И проблема не ограничивается одним лишь GitHub, злоумышленников интересуют любые реестры и исходные коды. Ярким примером является прошлогодний взлом инструмента для разработки Codecov. Злоумышленники получили доступ к официальному репозиторию его исходного кода путем извлечения статических облачных учетных данных из официального образа Docker. Затем хакеры изменили скрипт CI и собрали сотни «секретов» из пользовательской базы Codecov. Другой пример – Twitch, чей утекший код раскрыл более 6 тыс. репозиториев Git и 3 млн документов, а это, ни много ни мало, порядка 7 тыс. «секретов», включая сотни ключей AWS, Google, Stripe и GitHub. Несколько лет назад сотрудник Uber случайно опубликовал корпоративный код в своем открытом репозитории GitHub. Злоумышленники узнали об этом и обнаружили в коде ключи облачного провайдера, обеспечившие доступ к инфраструктуре Uber. Произошла масштабная утечка данных. |
Проверить безопасность сайта