GitGuardian 網絡安全專家稱 :2023 年,GitHub 用戶意外暴露了超過 300 萬個公共存儲庫中的 1280 萬個身份驗證和敏感機密,他們發出了 180 萬封免費電子郵件警報,發現隻有極小部分的 1.8% 的人采取了快速行動來糾正錯誤。
暴露的信息包括帳戶密碼、API 密鑰、TLS/SSL 證書、加密密鑰、雲服務憑證、OAuth 令牌和其他敏感數據,這些數據可能使外部參與者無限制地訪問各種私有資源和服務,從而導緻數據洩露和财務損失。
2023 年 Sophos 報告強調,憑證洩露占上半年記錄的所有攻擊根本原因的 50%,其次是漏洞利用,占比 23% 。
GitGuardian 表示,全球受歡迎的代碼托管和協作平台 GitHub 上的信息曝光自 2020 年以來一直呈負面趨勢。
每年有數百萬個信息在 GitHub 上曝光
2023 年 " 洩漏最嚴重 " 的國家是印度、美國、巴西等。
就洩露機密最多的行業而言,IT 以 65.9% 的份額位居榜首,其次是教育,占 20.1%,以及所有其他行業的總和(科學、零售、制造、金融、公共管理、醫療保健、娛樂) 、交通)占 14%。
GitGuardian 的通用檢測器捕獲了該公司 2023 年檢測到的所有信息的 45%,分析如下。
十大通用信息
可以識别并将信息軟洩露到更具體類别的特定檢測器表明 Google API 和 Google Cloud 密鑰、MongoDB 憑證、OpenWeatherMap 和 Telegram 機器人令牌、MySQL 和 PostgreSQL 憑證以及 GitHub OAuth 密鑰大量暴露。
前 10 個有效的特定信息
2.6% 的暴露信息在第一個小時内被撤銷,但高達 91.6% 的信息即使在五天後(即 GitGuardian 停止監控其狀态的時間)仍然有效。
Riot Games、GitHub、OpenAI 和 AWS 似乎擁有最好的響應機制來幫助檢測不良提交并糾正這種情況。
人工智能趨勢
生成式人工智能工具在 2023 年繼續爆發式增長,這也反映在去年 GitHub 上曝光的相關信息數量上。
GitGuardian 發現,與 2022 年相比,GitHub 上洩露的 OpenAI API 密鑰數量大幅增加了 1212 倍,平均每月洩露 46441 個 API 密鑰,達到了報告中增長最高的數據點。
OpenAI 以 ChatGPT 和 DALL-E 等産品而聞名,這些産品在技術社區之外得到了廣泛的使用。許多企業和員工在 ChatGPT 提示上輸入敏感信息,而這些密鑰的暴露風險極大。
開源人工智能模型存儲庫 HuggingFace 的機密洩露數量急劇增加,這與其在人工智能研究人員和開發人員中日益受歡迎有直接關系。
每月密鑰洩露
其他人工智能服務,如 Cohere、Claude、Clarifai、Google Bard、Pinecone 和 Replicate 也有洩露,盡管程度要低得多。
使用人工智能服務的用戶需要更好地保護好信息,GitGuardian 表示這些技術也可以用于檢測和保護信息。大型語言模型 ( LLM ) 可以對洩露的秘密進行快速分類,并減少誤報。
然而,大規模的運營規模、成本和時間考慮以及識别效率都是限制因素,也使此類方法的實現具有挑戰性。
不久前,GitHub 默認啓用了推送保護, 以防止在向平台推送新代碼時發生意外信息洩露。
