Бесплатно Репозитории GitHub допускают слив ключей

Everest_RR

Местный
Private Club
Регистрация
8/10/18
Сообщения
232
Репутация
20
Реакции
255
RUB
0
1*ToK-B524CA-3XG7hW558gA.jpeg

Репозитории ГитХаб допускают слив криптографических ключей и токенов«ЭйПиАй»

В Северной Каролине квалифицированные профи проанализировали и проработали миллионы миллионов файлов. Процесс длился более полугода, когда специалисты прорабатывали свыше 10% публичных «баз данных» ГитХаба, тщательно штудируя все коммиты.

Результаты были фантастическими! Выявлено более ста тысяч хранилищ, в составе которых имелись, во всей вероятности, не преднамеренно оставленные криптографические ключи. Место среди архивов имеют и токены API. Поразительно, что ежедневно количество этих утечек не уменьшается, а совсем даже наоборот. При помощи некоторых инструментов было произведено скурпулезное сканирование снапшотов хранилищ. Многие из использованных инструментов продемонстрировали свою неэффективность.

Что искали и нашли ли?

В самих репозиториях специалисты производили поиск оставленных криптографических ключей и токенов«ЭйПиАй». Ввиду однотипности их формата, нетрудно было объединить их в группы по схожести. Таким образом, было выявлено:

 15 сервесников;

 11 общераспространенных компаний;

 4 параметра ключей.

Нельзя не отметить, что пять из вышеперечисленных компаний занимали позиции в рейтинге 50 «Алекса». Процесс поиска затронул рад популярных сервисов, среди которых:

 Гугл;

 Амазон;

 Твиттер;

 Фэйсбук;

 Мэйлклимп;

 МэйлГан;

 СТрип;

 Твилио;

 Сквеа;

 Брайнтри;

 Пикатик.

Результаты проделанной работы выявили свыше 575 тысяч токенов и ключей, 200 тысяч из них – обладают особой уникальностью.

Где находили пропаж?

В более чем 90% случаев пропаж удавалось выявить в проектах, в которых задействован всего один владелец. Это вовсе не характерно для хранилищ, у которых открыт доступ нескольких разработчиков. Специалисты уверяют, что многие из найденных токенов и ключей являются действующими и реальными, потому как вариации «пропаж», предназначенных для опробации и тестирования, используются многокомпонентными группами разработчиков.

Ввиду длительного периода наблюдения за состоянием хранилищ, специалисты анализировали, как быстро владельцы обнаруживают утечку и ликвидируют ее. Результаты не порадовали:

 12% мгновенно выявили утечку;

 19 % от общей массы занялись обезвреживанием утечки;

 свыше 80% вообще не придали этому значения.

Исследователи сообщили о своих результатах сотрудникам ГитХаб, которые так же мониторят систему.
 
Сверху Снизу