GitHub стал хабом утечек почти 13 миллионов конфиденциальных данных

В прошлом году разработчики непреднамеренно раскрыли 12,8 миллионов секретов в публичных репозиториях крупнейшего веб-сервиса для хостинга IT-проектов и их совместной разработки GitHub. Это стало известно благодаря исследованию, проведённому ИБ-компанией GitGuardian. Проблема затронула более чем 3 миллиона публичных репозиториев.

🔐 12.8M secrets exposed on GitHub in 2023, up 28% from 2022!

Discover the impact on digital supply chains and how to combat secrets sprawl.

Download the State of Secrets Sprawl 2024 by GitGuardian now!https://t.co/8jAqZbS10v#infosec #SecretsSprawl pic.twitter.com/fqxh8Y6qKo

— GitGuardian (@GitGuardian) March 12, 2024

 

Эксперты GitGuardian отправили 1,8 миллиона предупреждающих писем владельцам аккаунтов, однако менее 2% из них оперативно устранили утечку.

Среди обнародованных секретов нашлись пароли аккаунтов, API-ключи, сертификаты TLS/SSL, ключи шифрования, учётные данные облачных сервисов, токены OAuth и другие данные, делающие возможным несанкционированный доступ к ресурсам и сервисам, что влечёт за собой угрозу утечки данных и финансовых потерь.

GitGuardian подчёркивает, что проблема утечки секретов на GitHub, самой популярной платформе для хостинга кода и совместной работы, обострилась начиная с 2020 года.

Больше всего утечек в 2023 году было зафиксировано в Индии, США, Бразилии, Китае, Франции, Канаде, Вьетнаме, Индонезии, Южной Корее и Германии.

В отраслевом разрезе больше всего секретов утекло из IT-сектора (65,9%), за ним следует образование (20,1%), а на все остальные вместе взятые отрасли (наука, розничная торговля, производство, финансы, государственное управление, здравоохранение, развлечения, транспорт) приходится около 14% утечек.

Среди специфических утечек доминируют ключи Google API и Google Cloud, учётные данные MongoDB, токены Telegram-ботов, учётные данные MySQL и PostgreSQL, а также ключи GitHub OAuth.

Замечено, что только 2,6% утекших секретов были отозваны в первый час после утечки, тогда как ошеломляющие 91,6% оставались активными даже спустя пять дней. Такие компании, как Riot Games, GitHub, OpenAI и AWS, продемонстрировали наилучшие механизмы реагирования на утечки.

В 2023 году наблюдался взрывной рост использования генеративных ИИ-инструментов, что также сказалось и на количестве утечек соответствующих секретов. Так, GitGuardian зафиксировал средний рост количества утекших ключей API OpenAI в 1212 раз по сравнению с 2022 годом.

В последнем месяце GitHub активировал защиту от случайного обнародования секретов по умолчанию, чтобы предотвратить подобные инциденты в будущем.

В свете этих тревожных результатов GitGuardian подчеркнул важность не только обнаружения, но и оперативного устранения этих утечек. В отчете подчеркивается, что, хотя обнаружение имеет решающее значение, эффективное устранение ошибок зависит от предоставления разработчикам рекомендаций и поддержки для быстрого исправления ошибок.