GitGuardianの新たなレポートによると、開発者が2023年に公開GitHubリポジトリ上で誤って1280万件のシークレットを漏えいさせており、前年から28%増加した。
同セキュリティベンダーは、この数字は2021年以降に露出したシークレットが4倍に増えたことを示しており、GitHubリポジトリの増加に起因すると述べた。
昨年は、1000件のコミットのうち7件、アクティブなリポジトリの4.6%、貢献した作者の11.7%が、少なくとも1つのシークレットを露出させたという。
その期間に180万通のアラートメールを送信したにもかかわらず、GitGuardianは、漏えいから5日後の時点でも露出したシークレットの90%が有効なままであり、恒常的なセキュリティギャップを生み出していると主張した。メール通知から1時間以内に無効化されたのはわずか2.6%だった。
「無効化する代わりに、漏えいしたコミットやリポジトリを削除する開発者は、企業にとって重大なセキュリティリスクを生み出しています。認証情報が有効である限り、公開GitHubの活動をミラーする脅威アクターに対して脆弱な状態が続くでしょう」とGitGuardianのCEO、Eric Fourrier氏は述べた。「こうしたゾンビ漏えいは最悪です」
GitHubのセキュリティリスクについて詳しく読む: セキュリティ専門家がIT部門にGitHubサービスのロックダウンを要請
過去1年でGitHubには約5000万の新規リポジトリが追加され、前年比22%増となった。全体で300万のリポジトリに漏えいしたシークレットが含まれており、最も一般的だったのはGoogle APIキー、MongoDBの認証情報、OpenWeatherMapトークン、Telegram Botトークン、Google Cloudキー、AWS IAMだった。
これらは、機会をうかがう脅威アクターが機密性の高い企業リソースを侵害するうえで大きな助けとなり得る。GitGuardianはまた、OpenAI APIキーの漏えいが1212倍に増加したことを検知し、さらに多くのHuggingFaceユーザーアクセストークンの漏えいも確認しており、いずれもAIサービスの人気拡大を示している。
シークレット漏えいの最大の原因はITセクターで、全体の65.9%を占めた。次いで、教育、科学・技術、小売、製造、金融・保険が続いた。
GitGuardianは、これらの漏えいを発見するだけでなく、是正するための行動も促した。
「セキュリティ施策の大半はこれらの漏えいの検知に焦点を当てていますが、実際のボトルネックは是正にあります。開発者に警告するだけでは不十分で、本当に不可欠なのは、彼らが誤りを効果的に修正できるよう必要な指針と支援を提供することです」と、同社レポートは主張している。
翻訳元: https://www.infosecurity-magazine.com/news/13-million-secrets-public-github/
