GitGuardian, световният лидер в автоматизираното откриване на тайни, представи днес изданието си за 2024 г. на доклада „Състояние на разрастването на тайните“. Проучването – най-изчерпателното изследване на разкритите тайни в публичния GitHub – разкрива, че през 2023 г. в GitHub публично са изтекли 12,8 млн. нови случаи на тайни, което е +28% в сравнение с 2022 г. Забележително е, че случаите на публично разкрити тайни са се увеличили четири пъти, откакто компанията е започнала да докладва през 2021 г.
Нарастващият брой на хранилищата на код в GitHub, като през изминалата година са добавени 50 млн. нови хранилища (+22%), увеличава риска както от случайно, така и от умишлено разкриване на чувствителна информация. Само през 2023 г. са открити над 1 милион валидни случаи на тайни на Google API, 250 000 тайни на Google Cloud и 140 000 тайни на AWS.
Въпреки че ИТ секторът, който включва доставчиците на софтуер, е най-засегнатата индустрия с 65,9% от всички открити изтичания, други индустрии също са засегнати. Сред тях са образованието, науката и технологиите, търговията на дребно, производството и финансите и застраховането, на които се падат съответно 20,1 %, 7 %, 1,5 %, 1,2 % и 1 % от течовете.
Това подчертава необходимостта от повишена бдителност и проактивни мерки за защита на чувствителната информация във всички отрасли, тъй като рисковете, свързани с разрастването на тайните, продължават да нарастват.
Изследването хвърля светлина върху важен пропуск в сигурността: при откриване на разкрита валидна тайна 90% от тях остават активни в продължение на поне пет дни, дори след като авторът е уведомен. Ключовете за API и токените за удостоверяване на големи доставчици на услуги като Cloudflare, AWS, OpenAI или дори GitHub често са засегнати от неотменени тайни.
„Разработчиците, които изтриват изтекли коммити или хранилища, вместо да ги оттеглят, създават сериозен риск за сигурността на компаниите, които ще останат уязвими за заплахи, отразяващи публичната дейност на GitHub, докато удостоверението е валидно. Тези зомбирани изтичания са най-лошите“, казва Ерик Фурие, главен изпълнителен директор и основател на GitGuardian.
За да се оцени разпространението на зомби течовете, в проучването е избрана случайна извадка от 5000 изтрити коммита, които са разкрили тайна. Само 28,2 % от хранилищата, в които са се намирали тези коммити, са били все още достъпни по време на проучването. Това показва, че останалите хранилища вероятно са били изтрити или превърнати в частни в отговор на изтичането на информация, което предполага, че разпространението на зомби изтичането може да бъде подценено.
Освен това в проучването се изказва хипотезата, че компаниите могат да използват DMCA сваляния като средство за управление на изтичащи хранилища, върху които нямат контрол. В подкрепа на това проучването установява, че през 2023 г. 12,4 % от 2 050 репозитории, свалени от GitHub, са разкрили поне една тайна, което представлява увеличение с 37,8 % спрямо 2020 г.
Тези констатации са от решаващо значение за схващане на пълния обхват на проблема с разрастването на тайните. Въпреки че повечето инициативи за сигурност се фокусират върху откриването на изтичане на информация, тясното място се крие в подобряването на позицията за сигурност. Простото предупреждаване на разработчиците не е достатъчно; това, което е от истинско значение, е да им се предоставят необходимите насоки и подкрепа, за да поправят ефективно грешките си.
„Пробивът в Toyota през 2022 г., до който се стигна, след като хакер получи идентификационни данни за един от нейните сървъри от изходен код, публикуван в GitHub, е доказателство, че дори пет години след изтичането на информация пробивът все още може да се случи“, казва Ерик Фурие.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.