GitHub 上泄露了超过 1200 万个身份验证秘密和密钥 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

GitHub 上泄露了超过 1200 万个身份验证秘密和密钥

胡金鱼 漏洞 2024-04-15 12:00:00
208057
收藏

导语:GitHub 默认启用了推送保护, 以防止在向平台推送新代码时发生意外信息泄露。

GitGuardian网络安全专家称 :2023 年,GitHub 用户意外暴露了超过 300 万个公共存储库中的 1280 万个身份验证和敏感机密,他们发出了 180 万封免费电子邮件警报,发现只有极小部分的 1.8% 的人采取了快速行动来纠正错误。

暴露的信息包括帐户密码、API 密钥、TLS/SSL 证书、加密密钥、云服务凭证、OAuth 令牌和其他敏感数据,这些数据可能使外部参与者无限制地访问各种私有资源和服务,从而导致数据泄露和财务损失。

2023 年 Sophos 报告强调,凭证泄露占上半年记录的所有攻击根本原因的 50%,其次是漏洞利用,占比 23% 。

GitGuardian 表示,全球受欢迎的代码托管和协作平台 GitHub 上的信息曝光自 2020 年以来一直呈负面趋势。

trend.webp.jpg

每年有数百万个信息在 GitHub 上曝光

2023 年“泄漏最严重”的国家是印度、美国、巴西等。

就泄露机密最多的行业而言,IT 以 65.9% 的份额位居榜首,其次是教育,占 20.1%,以及所有其他行业的总和(科学、零售、制造、金融、公共管理、医疗保健、娱乐) 、交通)占14%。

GitGuardian 的通用检测器捕获了该公司 2023 年检测到的所有信息的 45%,分析如下。

generic.webp.jpg

十大通用信息

可以识别并将信息软泄露到更具体类别的特定检测器表明 Google API 和 Google Cloud 密钥、MongoDB 凭证、OpenWeatherMap 和 Telegram 机器人令牌、MySQL 和 PostgreSQL 凭证以及 GitHub OAuth 密钥大量暴露。

specific.webp.jpg

前 10 个有效的特定信息

2.6% 的暴露信息在第一个小时内被撤销,但高达 91.6% 的信息即使在五天后(即 GitGuardian 停止监控其状态的时间)仍然有效。

Riot Games、GitHub、OpenAI 和 AWS 似乎拥有最好的响应机制来帮助检测不良提交并纠正这种情况。

人工智能趋势

生成式人工智能工具在 2023 年继续爆发式增长,这也反映在去年 GitHub 上曝光的相关信息数量上。

GitGuardian 发现,与 2022 年相比,GitHub 上泄露的 OpenAI API 密钥数量大幅增加了 1212 倍,平均每月泄露 46441 个 API 密钥,达到了报告中增长最高的数据点。

OpenAI 以 ChatGPT 和 DALL-E 等产品而闻名,这些产品在技术社区之外得到了广泛的使用。许多企业和员工在 ChatGPT 提示上输入敏感信息,而这些密钥的暴露风险极大。

开源人工智能模型存储库 HuggingFace 的机密泄露数量急剧增加,这与其在人工智能研究人员和开发人员中日益受欢迎有直接关系。

hugging.webp.jpg

每月密钥泄露

其他人工智能服务,如 Cohere、Claude、Clarifai、Google Bard、Pinecone 和 Replicate也有泄露,尽管程度要低得多。

使用人工智能服务的用户需要更好地保护好信息,GitGuardian 表示这些技术也可以用于检测和保护信息。大型语言模型 (LLM) 可以对泄露的秘密进行快速分类,并减少误报。

然而,大规模的运营规模、成本和时间考虑以及识别效率都是限制因素,也使此类方法的实现具有挑战性。

不久前,GitHub 默认启用了推送保护, 以防止在向平台推送新代码时发生意外信息泄露。

文章翻译自:https://www.bleepingcomputer.com/news/security/over-12-million-auth-secrets-and-keys-leaked-on-github-in-2023/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务