13 March 2024

GitHub стал хабом утечек почти 13 миллионов конфиденциальных данных

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Среди обнародованных секретов нашлись пароли аккаунтов, API-ключи, сертификаты TLS/SSL, ключи шифрования, учётные данные облачных сервисов, токены OAuth и другие данные.
Фото: коллаж «Роскомсвобода» / cloudfront.net / Playground AI

В прошлом году разработчики непреднамеренно раскрыли 12,8 миллионов секретов в публичных репозиториях крупнейшего веб-сервиса для хостинга IT-проектов и их совместной разработки GitHub. Это стало известно благодаря исследованию, проведённому ИБ-компанией GitGuardian. Проблема затронула более чем 3 миллиона публичных репозиториев.

 

 

Эксперты GitGuardian отправили 1,8 миллиона предупреждающих писем владельцам аккаунтов, однако менее 2% из них оперативно устранили утечку.

Среди обнародованных секретов нашлись пароли аккаунтов, API-ключи, сертификаты TLS/SSL, ключи шифрования, учётные данные облачных сервисов, токены OAuth и другие данные, делающие возможным несанкционированный доступ к ресурсам и сервисам, что влечёт за собой угрозу утечки данных и финансовых потерь.

GitGuardian подчёркивает, что проблема утечки секретов на GitHub, самой популярной платформе для хостинга кода и совместной работы, обострилась начиная с 2020 года.

Больше всего утечек в 2023 году было зафиксировано в Индии, США, Бразилии, Китае, Франции, Канаде, Вьетнаме, Индонезии, Южной Корее и Германии.

В отраслевом разрезе больше всего секретов утекло из IT-сектора (65,9%), за ним следует образование (20,1%), а на все остальные вместе взятые отрасли (наука, розничная торговля, производство, финансы, государственное управление, здравоохранение, развлечения, транспорт) приходится около 14% утечек.

Среди специфических утечек доминируют ключи Google API и Google Cloud, учётные данные MongoDB, токены Telegram-ботов, учётные данные MySQL и PostgreSQL, а также ключи GitHub OAuth.

Замечено, что только 2,6% утекших секретов были отозваны в первый час после утечки, тогда как ошеломляющие 91,6% оставались активными даже спустя пять дней. Такие компании, как Riot Games, GitHub, OpenAI и AWS, продемонстрировали наилучшие механизмы реагирования на утечки.

В 2023 году наблюдался взрывной рост использования генеративных ИИ-инструментов, что также сказалось и на количестве утечек соответствующих секретов. Так, GitGuardian зафиксировал средний рост количества утекших ключей API OpenAI в 1212 раз по сравнению с 2022 годом.

В последнем месяце GitHub активировал защиту от случайного обнародования секретов по умолчанию, чтобы предотвратить подобные инциденты в будущем.

В свете этих тревожных результатов GitGuardian подчеркнул важность не только обнаружения, но и оперативного устранения этих утечек. В отчете подчеркивается, что, хотя обнаружение имеет решающее значение, эффективное устранение ошибок зависит от предоставления разработчикам рекомендаций и поддержки для быстрого исправления ошибок.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.