导语:GitHub 默认启用了推送保护, 以防止在向平台推送新代码时发生意外信息泄露。
GitGuardian网络安全专家称 :2023 年,GitHub 用户意外暴露了超过 300 万个公共存储库中的 1280 万个身份验证和敏感机密,他们发出了 180 万封免费电子邮件警报,发现只有极小部分的 1.8% 的人采取了快速行动来纠正错误。
暴露的信息包括帐户密码、API 密钥、TLS/SSL 证书、加密密钥、云服务凭证、OAuth 令牌和其他敏感数据,这些数据可能使外部参与者无限制地访问各种私有资源和服务,从而导致数据泄露和财务损失。
2023 年 Sophos 报告强调,凭证泄露占上半年记录的所有攻击根本原因的 50%,其次是漏洞利用,占比 23% 。
GitGuardian 表示,全球受欢迎的代码托管和协作平台 GitHub 上的信息曝光自 2020 年以来一直呈负面趋势。
每年有数百万个信息在 GitHub 上曝光
2023 年“泄漏最严重”的国家是印度、美国、巴西等。
就泄露机密最多的行业而言,IT 以 65.9% 的份额位居榜首,其次是教育,占 20.1%,以及所有其他行业的总和(科学、零售、制造、金融、公共管理、医疗保健、娱乐) 、交通)占14%。
GitGuardian 的通用检测器捕获了该公司 2023 年检测到的所有信息的 45%,分析如下。
十大通用信息
可以识别并将信息软泄露到更具体类别的特定检测器表明 Google API 和 Google Cloud 密钥、MongoDB 凭证、OpenWeatherMap 和 Telegram 机器人令牌、MySQL 和 PostgreSQL 凭证以及 GitHub OAuth 密钥大量暴露。
前 10 个有效的特定信息
2.6% 的暴露信息在第一个小时内被撤销,但高达 91.6% 的信息即使在五天后(即 GitGuardian 停止监控其状态的时间)仍然有效。
Riot Games、GitHub、OpenAI 和 AWS 似乎拥有最好的响应机制来帮助检测不良提交并纠正这种情况。
人工智能趋势
生成式人工智能工具在 2023 年继续爆发式增长,这也反映在去年 GitHub 上曝光的相关信息数量上。
GitGuardian 发现,与 2022 年相比,GitHub 上泄露的 OpenAI API 密钥数量大幅增加了 1212 倍,平均每月泄露 46441 个 API 密钥,达到了报告中增长最高的数据点。
OpenAI 以 ChatGPT 和 DALL-E 等产品而闻名,这些产品在技术社区之外得到了广泛的使用。许多企业和员工在 ChatGPT 提示上输入敏感信息,而这些密钥的暴露风险极大。
开源人工智能模型存储库 HuggingFace 的机密泄露数量急剧增加,这与其在人工智能研究人员和开发人员中日益受欢迎有直接关系。
每月密钥泄露
其他人工智能服务,如 Cohere、Claude、Clarifai、Google Bard、Pinecone 和 Replicate也有泄露,尽管程度要低得多。
使用人工智能服务的用户需要更好地保护好信息,GitGuardian 表示这些技术也可以用于检测和保护信息。大型语言模型 (LLM) 可以对泄露的秘密进行快速分类,并减少误报。
然而,大规模的运营规模、成本和时间考虑以及识别效率都是限制因素,也使此类方法的实现具有挑战性。
不久前,GitHub 默认启用了推送保护, 以防止在向平台推送新代码时发生意外信息泄露。
文章翻译自:https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/如若转载,请注明原文地址