Спеціалісти виявили понад 12 мільйонів випадків витоку даних GitHub, які загрожують найбільшим світовим організаціям

Фахівці з компанії Aqua Security виявили серйозну проблему витоку конфіденційних даних в репозиторіях коду, зокрема на GitHub. У 2023 році було зафіксовано майже 12,8 мільйона нових випадків витоку секретів у комітах, що майже на 3 мільйони більше, ніж у попередньому році.

Так звані «фантомні секрети», такі як API-токени, облікові дані та ключі доступу, часто залишаються доступними навіть після їх видалення з коду. Це викликає серйозне занепокоєння, адже більшість методів сканування не можуть виявити ці порушення. За оцінками експертів, близько 18% секретів у Git-репозиторіях залишаються непоміченими.

Ця проблема пов’язана з тим, як системи управління вихідним кодом (SCM) зберігають видалені або оновлені коміти. Секрети, які один раз були використані у коді, можуть залишатися доступними і далі. Дослідження охопило 100 найбільших організацій на GitHub та проаналізувало понад 52 000 публічно доступних репозиторіїв.

Результати виявилися тривожними: було знайдено вразливості, які дозволяють отримати доступ до критично важливих ресурсів найбільших світових організацій. Серед потенційно скомпрометованих систем опинилися повні хмарні середовища, внутрішня інфраструктура фаззингу конфіденційних проектів, платформи телеметрії, мережеві пристрої, секрети SNMP та відеозаписи з камер компаній зі списку Fortune 500.