Репозитории ГитХаб допускают слив криптографических ключей и токенов«ЭйПиАй»
В Северной Каролине квалифицированные профи проанализировали и проработали миллионы миллионов файлов. Процесс длился более полугода, когда специалисты прорабатывали свыше 10% публичных «баз данных» ГитХаба, тщательно штудируя все коммиты.
Результаты были фантастическими! Выявлено более ста тысяч хранилищ, в составе которых имелись, во всей вероятности, не преднамеренно оставленные криптографические ключи. Место среди архивов имеют и токены API. Поразительно, что ежедневно количество этих утечек не уменьшается, а совсем даже наоборот. При помощи некоторых инструментов было произведено скурпулезное сканирование снапшотов хранилищ. Многие из использованных инструментов продемонстрировали свою неэффективность.
Что искали и нашли ли?
В самих репозиториях специалисты производили поиск оставленных криптографических ключей и токенов«ЭйПиАй». Ввиду однотипности их формата, нетрудно было объединить их в группы по схожести. Таким образом, было выявлено:
15 сервесников;
11 общераспространенных компаний;
4 параметра ключей.
Нельзя не отметить, что пять из вышеперечисленных компаний занимали позиции в рейтинге 50 «Алекса». Процесс поиска затронул рад популярных сервисов, среди которых:
Гугл;
Амазон;
Твиттер;
Фэйсбук;
Мэйлклимп;
МэйлГан;
СТрип;
Твилио;
Сквеа;
Брайнтри;
Пикатик.
Результаты проделанной работы выявили свыше 575 тысяч токенов и ключей, 200 тысяч из них – обладают особой уникальностью.
Где находили пропаж?
В более чем 90% случаев пропаж удавалось выявить в проектах, в которых задействован всего один владелец. Это вовсе не характерно для хранилищ, у которых открыт доступ нескольких разработчиков. Специалисты уверяют, что многие из найденных токенов и ключей являются действующими и реальными, потому как вариации «пропаж», предназначенных для опробации и тестирования, используются многокомпонентными группами разработчиков.
Ввиду длительного периода наблюдения за состоянием хранилищ, специалисты анализировали, как быстро владельцы обнаруживают утечку и ликвидируют ее. Результаты не порадовали:
12% мгновенно выявили утечку;
19 % от общей массы занялись обезвреживанием утечки;
свыше 80% вообще не придали этому значения.
Исследователи сообщили о своих результатах сотрудникам ГитХаб, которые так же мониторят систему.
