На GitHub у 2023 році користувачі випадково розкрили 12,8 млн секретів у понад 3 млн публічних репозиторіїв

На GitHub у 2023 році стався витік ключів автентифікації та іншої інформації, причому більшість розробників не подбали про їхнє відкликання навіть після того, як їм повідомили про інцидент, пише TechRadar.

Дослідження провів GitGuardian – проєкт допомагає убезпечити розробку програмного забезпечення за допомогою автоматизованого виявлення та усунення витоків інформації.

У звіті проєкту стверджується, що у 2023 році користувачі GitHub випадково розкрили 12,8 мільйона секретів у понад 3 мільйонах публічних репозиторіїв.

Серед цих секретів – паролі облікових записів, ключі API, сертифікати TLS/SSL, ключі шифрування, облікові дані хмарних сервісів, токени OAuth тощо.

На етапі розробки багато ІТ-фахівців кодують напряму різні секрети автентифікації, щоб полегшити собі життя.

Однак вони часто забувають видалити секрети перед публікацією коду на GitHub. Таким чином, якщо зловмисники дізнаються про ці секрети, вони отримають легкий доступ до приватних ресурсів і сервісів, що може призвести до витоку даних та інших подібних інцидентів.

Найбільше витоків було зафіксовано в Індії, наступними йдуть США, Бразилія, Китай, Франція та Канада. Переважна більшість витоків походить з ІТ-індустрії (65,9%), за якою слідує сфера освіти (20,1%). Решта 14% розподілилися між наукою, роздрібною торгівлею, виробництвом, фінансами, державним управлінням, охороною здоров’я, розвагами та транспортом.

Лише 2,6% секретів відкликаються протягом години – практично всі інші (91,6%) залишаються чинними навіть через п’ять днів, коли GitGuardian перестає відстежувати їхній статус. Що ще гірше, проєкт надіслав 1,8 мільйона електронних листів різним розробникам і компаніям, попередивши їх про свої висновки, і лише 1,8% відреагували, видаливши секрети з коду.

Riot Games, GitHub, OpenAI та AWS увійшли до списку компаній з найкращими механізмами реагування.