Более 100 тыс. репозиториев на GitHub раскрывали API или криптографические ключи
Специалисты выявили порядка 576 тыс. токенов API и криптографических ключей, причем более 200 тыс. из них были уникальными.
Свыше 100 тыс. репозиториев на портале GitHub допускают утечку токенов API и криптографических ключей, показало исследование , проведенное командой специалистов из Университета штата Северная Каролина (США). Исследование продолжалось в период с 31 октября 2017 года по 20 апреля 2018 года, за это время эксперты проанализировали 4 394 476 файлов в 681 784 репозиториях на GitHub и 2 312 763 353 файла в 3 374 973 репозиториях в базе данных Google BigQuery. В общей сложности команда выявила порядка 576 тыс. токенов API и криптографических ключей, причем более 200 тыс. из них были уникальными. 93,58% находок были связаны с аккаунтами, у которых один владелец, то есть, речь идет о действительных, а не тестовых ключах и токенах. По словам экспертов, в одном из случаев они выявили учетные данные AWS для сайта крупного правительственного ведомства в одной из стран Западной Европы.
Благодаря длительному периоду исследования у специалистов была возможность понаблюдать, когда (и если) владельцы данных обнаружат утечку и насколько оперативно уберут конфиденциальные данные из своих кодов. Как выяснилось, 6% отслеживаемых API и криптографических ключей были удалены в течение часа после утечки, более 12% — по прошествии суток, 19% — по истечении большего периода времени (16 дней), а 81% так и не были удалены. По мнению экспертов, владельцы этих аккаунтов либо не знали об утечке, либо недооценили степень риска.
Исследователи также обнаружили более 7 тыс. RSA-ключей в конфигурационных файлах OpenVPN. По их словам, анализ настроек в файлах показал, что подавляющее большинство пользователей отключили аутентификацию по паролю и использовали исключительно авторизацию по RSA-ключу. Это значит, что любой, кто найдет утекшие RSA-ключи, сможет получить доступ к тысячам частных сетей.
Специалисты передали результаты исследования администрации GitHub в минувшем году. По их словам, компания начала принимать меры по обнаружению и уведомлению разработчиков об утечках, однако не предоставила исследователям дополнительную информацию касательно ситуации.
