GitHub 上泄露了超过 1200 万个身份验证秘密和密钥

GitGuardian网络安全专家称 ：2023 年，GitHub 用户意外暴露了超过 300 万个公共存储库中的 1280 万个身份验证和敏感机密，他们发出了 180 万封免费电子邮件警报，发现只有极小部分的 1.8% 的人采取了快速行动来纠正错误。

暴露的信息包括帐户密码、API 密钥、TLS/SSL 证书、加密密钥、云服务凭证、OAuth 令牌和其他敏感数据，这些数据可能使外部参与者无限制地访问各种私有资源和服务，从而导致数据泄露和财务损失。

2023 年 Sophos 报告强调，凭证泄露占上半年记录的所有攻击根本原因的 50%，其次是漏洞利用，占比 23% 。

GitGuardian 表示，全球受欢迎的代码托管和协作平台 GitHub 上的信息曝光自 2020 年以来一直呈负面趋势。

每年有数百万个信息在 GitHub 上曝光

2023 年“泄漏最严重”的国家是印度、美国、巴西等。

就泄露机密最多的行业而言，IT 以 65.9% 的份额位居榜首，其次是教育，占 20.1%，以及所有其他行业的总和（科学、零售、制造、金融、公共管理、医疗保健、娱乐） 、交通）占14%。

GitGuardian 的通用检测器捕获了该公司 2023 年检测到的所有信息的 45%，分析如下。

十大通用信息

可以识别并将信息软泄露到更具体类别的特定检测器表明 Google API 和 Google Cloud 密钥、MongoDB 凭证、OpenWeatherMap 和 Telegram 机器人令牌、MySQL 和 PostgreSQL 凭证以及 GitHub OAuth 密钥大量暴露。

前 10 个有效的特定信息

2.6% 的暴露信息在第一个小时内被撤销，但高达 91.6% 的信息即使在五天后（即 GitGuardian 停止监控其状态的时间）仍然有效。

Riot Games、GitHub、OpenAI 和 AWS 似乎拥有最好的响应机制来帮助检测不良提交并纠正这种情况。

人工智能趋势

生成式人工智能工具在 2023 年继续爆发式增长，这也反映在去年 GitHub 上曝光的相关信息数量上。

GitGuardian 发现，与 2022 年相比，GitHub 上泄露的 OpenAI API 密钥数量大幅增加了 1212 倍，平均每月泄露 46441 个 API 密钥，达到了报告中增长最高的数据点。

OpenAI 以 ChatGPT 和 DALL-E 等产品而闻名，这些产品在技术社区之外得到了广泛的使用。许多企业和员工在 ChatGPT 提示上输入敏感信息，而这些密钥的暴露风险极大。

开源人工智能模型存储库 HuggingFace 的机密泄露数量急剧增加，这与其在人工智能研究人员和开发人员中日益受欢迎有直接关系。

每月密钥泄露

其他人工智能服务，如 Cohere、Claude、Clarifai、Google Bard、Pinecone 和 Replicate也有泄露，尽管程度要低得多。

使用人工智能服务的用户需要更好地保护好信息，GitGuardian 表示这些技术也可以用于检测和保护信息。大型语言模型 (LLM) 可以对泄露的秘密进行快速分类，并减少误报。

然而，大规模的运营规模、成本和时间考虑以及识别效率都是限制因素，也使此类方法的实现具有挑战性。

不久前，GitHub 默认启用了推送保护， 以防止在向平台推送新代码时发生意外信息泄露。