В репозиториях кода на GitHub выявлены "призрачные секреты"

Согласно недавнему отчету исследователей из компании Aqua Security, проблема утечки конфиденциальных данных в репозиториях кода приобретает все более серьезный характер. Эксперты выявили так называемые «призрачные секреты» — конфиденциальную информацию, которая остается доступной даже после ее предполагаемого удаления из кода.

По данным GitGuardian, в 2023 году было обнаружено почти 12,8 миллионов новых случаев утечки секретов в коммитах GitHub, что почти на 3 миллиона больше, чем в предыдущем году. Для сравнения, в 2020-ом это число составляло всего 3 миллиона, пишет Securitylab.

Некоторые секреты, такие как API-токены, учетные данные и ключи доступа, оставались открытыми в течение многих лет. Еще более тревожным является тот факт, что большинство методов сканирования попросту пропускают нарушения. По оценкам экспертов, около 18% секретов в Git-репозиториях могут остаться незамеченными.

Проблема связана с тем, как системы управления исходным кодом (SCM), такие как GitHub, Bitbucket и GitLab, сохраняют удаленные или обновленные коммиты. Даже единожды использованный в коде секрет или секрет, который считается удаленным, может оставаться доступным.

Исследование охватывает 100 крупнейших организаций на GitHub. В общей сложности было проанализировано более 52 000 публично доступных репозиториев. Результаты оказались тревожными: обнаружены уязвимости, позволяющие получить доступ к критически важным ресурсам крупнейших мировых организаций. Среди потенциально скомпрометированных систем оказались:

• Полные облачные среды
• Внутренняя инфраструктура фаззинга конфиденциальных проектов
• Платформы телеметрии
• Сетевые устройства
• Секреты SNMP
• Видеозаписи с камер компаний из списка Fortune 500

Среди конкретных примеров — API-токен для FuzzManager компании Mozilla, который предоставил доступ к внутренним данным фаззинга, обычно хранящимся в секрете. Также были найдены привилегированные API-токены для Cisco Meraki Dashboard, позволяющие управлять сетевыми ресурсами организаций.

Аналитики подчеркивают необходимость решения проблемы «фантомных секретов» для защиты разработчиков и их проектов. Они рекомендуют использовать комплексный подход, который включает в себя:

• Обучение разработчиков безопасным практикам кодирования
• Внедрение специализированных инструментов для управления секретами
• Автоматизированное сканирование кода на наличие уязвимостей перед его публикацией в открытых репозиториях

Несмотря на растущее понимание проблемы, разработчики по-прежнему остаются привлекательной мишенью для злоумышленников. Это обусловлено двумя основными факторами:

• Доступом разработчиков к конфиденциальной информации и критически важным системам
• Расширением поверхности атаки, связанным с увеличением использования открытого исходного кода и распространением облачных технологий разработки