GitHub 上泄露了超过 1200 万个身份验证秘密和密钥
2024-4-15 12:0:0 Author: www.4hou.com(查看原文) 阅读量:15 收藏

胡金鱼 漏洞 刚刚发布

3308

收藏

导语:GitHub 默认启用了推送保护, 以防止在向平台推送新代码时发生意外信息泄露。

GitGuardian网络安全专家称 :2023 年,GitHub 用户意外暴露了超过 300 万个公共存储库中的 1280 万个身份验证和敏感机密,他们发出了 180 万封免费电子邮件警报,发现只有极小部分的 1.8% 的人采取了快速行动来纠正错误。

暴露的信息包括帐户密码、API 密钥、TLS/SSL 证书、加密密钥、云服务凭证、OAuth 令牌和其他敏感数据,这些数据可能使外部参与者无限制地访问各种私有资源和服务,从而导致数据泄露和财务损失。

2023 年 Sophos 报告强调,凭证泄露占上半年记录的所有攻击根本原因的 50%,其次是漏洞利用,占比 23% 。

GitGuardian 表示,全球受欢迎的代码托管和协作平台 GitHub 上的信息曝光自 2020 年以来一直呈负面趋势。

trend.webp.jpg

每年有数百万个信息在 GitHub 上曝光

2023 年“泄漏最严重”的国家是印度、美国、巴西等。

就泄露机密最多的行业而言,IT 以 65.9% 的份额位居榜首,其次是教育,占 20.1%,以及所有其他行业的总和(科学、零售、制造、金融、公共管理、医疗保健、娱乐) 、交通)占14%。

GitGuardian 的通用检测器捕获了该公司 2023 年检测到的所有信息的 45%,分析如下。

generic.webp.jpg

十大通用信息

可以识别并将信息软泄露到更具体类别的特定检测器表明 Google API 和 Google Cloud 密钥、MongoDB 凭证、OpenWeatherMap 和 Telegram 机器人令牌、MySQL 和 PostgreSQL 凭证以及 GitHub OAuth 密钥大量暴露。

specific.webp.jpg

前 10 个有效的特定信息

2.6% 的暴露信息在第一个小时内被撤销,但高达 91.6% 的信息即使在五天后(即 GitGuardian 停止监控其状态的时间)仍然有效。

Riot Games、GitHub、OpenAI 和 AWS 似乎拥有最好的响应机制来帮助检测不良提交并纠正这种情况。

人工智能趋势

生成式人工智能工具在 2023 年继续爆发式增长,这也反映在去年 GitHub 上曝光的相关信息数量上。

GitGuardian 发现,与 2022 年相比,GitHub 上泄露的 OpenAI API 密钥数量大幅增加了 1212 倍,平均每月泄露 46441 个 API 密钥,达到了报告中增长最高的数据点。

OpenAI 以 ChatGPT 和 DALL-E 等产品而闻名,这些产品在技术社区之外得到了广泛的使用。许多企业和员工在 ChatGPT 提示上输入敏感信息,而这些密钥的暴露风险极大。

开源人工智能模型存储库 HuggingFace 的机密泄露数量急剧增加,这与其在人工智能研究人员和开发人员中日益受欢迎有直接关系。

hugging.webp.jpg

每月密钥泄露

其他人工智能服务,如 Cohere、Claude、Clarifai、Google Bard、Pinecone 和 Replicate也有泄露,尽管程度要低得多。

使用人工智能服务的用户需要更好地保护好信息,GitGuardian 表示这些技术也可以用于检测和保护信息。大型语言模型 (LLM) 可以对泄露的秘密进行快速分类,并减少误报。

然而,大规模的运营规模、成本和时间考虑以及识别效率都是限制因素,也使此类方法的实现具有挑战性。

不久前,GitHub 默认启用了推送保护, 以防止在向平台推送新代码时发生意外信息泄露。

文章翻译自:https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/V2Xz
如有侵权请联系:admin#unsafe.sh