100 000 dan ortiq GitHub omborlarida API yoki kriptografik kalitlar fosh qilingan.
Mutaxassislar taxminan 576 000 ta API tokenlari va kriptografik kalitlarni aniqladilar, ulardan 200 000 dan ortig’i noyob edi.
Shimoliy Karolina shtati universiteti (AQSh) tadqiqotchilari jamoasi tomonidan o’tkazilgan tadqiqotga ko’ra, 100 000 dan ortiq GitHub omborlaridan API tokenlari va kriptografik kalitlar sizib chiqmoqda. 2017-yil 31-oktabrdan 2018-yil 20-aprelgacha o’tkazilgan tadqiqotda Google BigQuery ma’lumotlar bazasidagi 681 784 ta GitHub omboridagi 4 394 476 ta fayl va 3 374 973 ta ombordagi 2 312 763 353 ta fayl tahlil qilindi. Jami bo’lib, jamoa taxminan 576 000 ta API tokenlari va kriptografik kalitlarni aniqladi, ulardan 200 000 dan ortig’i noyob edi. Topilmalarning 93,58% bitta egasi bo’lgan hisoblarga bog’langan, ya’ni ular haqiqiy kalitlar va tokenlar edi, sinov kalitlari emas. Mutaxassislarning fikriga ko’ra, bir holatda ular G’arbiy Yevropa mamlakatidagi yirik davlat idorasining veb-sayti uchun AWS sertifikatlarini topdilar.
Uzoq muddatli tadqiqot tadqiqotchilarga ma’lumotlar egalari ma’lumotlarning oqishini qachon (va agar aniqlagan bo’lsa) va ular o’z kodlaridan maxfiy ma’lumotlarni qanchalik tez olib tashlaganliklarini kuzatish imkonini berdi. Ma’lum bo’lishicha, kuzatilgan API va kriptografik kalitlarning 6% ma’lumotlar oqishidan keyin bir soat ichida, 12% dan ortig’i 24 soatdan keyin, 19% dan uzoqroq vaqtdan keyin (16 kun) o’chirilgan va 81% hech qachon o’chirilmagan. Mutaxassislarning fikriga ko’ra, ushbu akkauntlar egalari yoki ma’lumotlar oqishidan bexabar bo’lgan yoki xavfni kam baholagan.
Tadqiqotchilar shuningdek, OpenVPN konfiguratsiya fayllarida 7000 dan ortiq RSA kalitlarini aniqladilar. Ularning so’zlariga ko’ra, fayllardagi sozlamalar tahlili shuni ko’rsatdiki, foydalanuvchilarning aksariyati parolni autentifikatsiya qilishni o’chirib qo’ygan va faqat RSA kalitini autentifikatsiya qilishga tayangan. Bu shuni anglatadiki, sizib chiqqan RSA kalitlarini topgan har bir kishi minglab xususiy tarmoqlarga kirish huquqiga ega bo’lishi mumkin.
Tadqiqotchilar o’tgan yili o’z topilmalarini GitHub ma’muriyati bilan baham ko’rishdi. Ularning ta’kidlashicha, kompaniya ma’lumotlar sizib chiqishini aniqlash va ishlab chiquvchilarga xabar berish choralarini ko’rishni boshlagan, ammo tadqiqotchilarga vaziyat haqida qo’shimcha ma’lumot bermagan.
