Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

GitHub оказался главным виновником утечек секретных данных в 2023 году

13/03/24

GitHub

В 2023 году пользователи GitHub непреднамеренно обнародовали порядка 12,8 миллиона учётных данных и других конфиденциальных секретов в более чем 3 миллионах публичных репозиториев.

ИБ-специалисты из GitGuardian, исследуя эту проблему, отправили 1,8 миллиона предупреждающих писем владельцам аккаунтов, однако менее 2% из них оперативно устранили утечку.

Среди обнародованных секретов нашлись пароли аккаунтов, API-ключи, сертификаты TLS/SSL, ключи шифрования, учётные данные облачных сервисов, токены OAuth и другие данные, делающие возможным несанкционированный доступ к ресурсам и сервисам, что влечёт за собой угрозу утечки данных и финансовых потерь.

Отчёт компании Sophos за 2023 год указывает, что скомпрометированные учётные данные стали причиной 50% всех атак в первой половине года, существенно опережая эксплуатацию уязвимостей, отвечавших за 23% случаев. Об этом пишет Securitylab.

GitGuardian подчёркивает, что проблема утечки секретов на GitHub, самой популярной платформе для хостинга кода и совместной работы, обострилась начиная с 2020 года.

bsymd7lozhjns6ykr0mpuxmdgkopiwhg

Больше всего утечек в 2023 году было зафиксировано в Индии, США, Бразилии, Китае, Франции, Канаде, Вьетнаме, Индонезии, Южной Корее и Германии.

В отраслевом разрезе больше всего секретов утекло из IT-сектора (65,9%), за ним следует образование (20,1%), а на все остальные вместе взятые отрасли (наука, розничная торговля, производство, финансы, государственное управление, здравоохранение, развлечения, транспорт) приходится около 14% утечек.

Среди специфических утечек доминируют ключи Google API и Google Cloud, учётные данные MongoDB, токены Telegram-ботов, учётные данные MySQL и PostgreSQL, а также ключи GitHub OAuth.

Замечено, что только 2,6% утекших секретов были отозваны в первый час после утечки, тогда как ошеломляющие 91,6% оставались активными даже спустя пять дней. Такие компании, как Riot Games, GitHub, OpenAI и AWS, продемонстрировали наилучшие механизмы реагирования на утечки.

В 2023 году наблюдался взрывной рост использования генеративных ИИ-инструментов, что также сказалось и на количестве утечек соответствующих секретов. Так, GitGuardian зафиксировал средний рост количества утекших ключей API OpenAI в 1212 раз по сравнению с 2022 годом.

В последнем месяце GitHub активировал защиту от случайного обнародования секретов по умолчанию, чтобы предотвратить подобные инциденты в будущем.

Утечка миллионов секретов через общедоступные репозитории на GitHub служит серьезным предупреждением для всего сообщества разработчиков. Это показывает, насколько важно строго относиться к безопасности, не допуская небрежного обращения с конфиденциальными данными.

Инциденты подобного рода подрывают доверие к проектам с открытым исходным кодом и могут привести к финансовым потерям, взломам и другим серьезным последствиям.

Темы:статистикаУгрозыGitHubутечка данных2023
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...