开源噩梦:GitHub一年泄露上千万密钥

安全 应用安全
据GitGuardian的最新报告,2023年GitHub平台上发生了大规模的敏感信息泄露事件,超过300万个公开代码库累计泄漏超过1280万个身份验证和敏感密钥,其中绝大部分信息在泄露后5天内仍保持有效。

据GitGuardian的最新报告,2023年GitHub平台上发生了大规模的敏感信息泄露事件,超过300万个公开代码库累计泄漏超过1280万个身份验证和敏感密钥,其中绝大部分信息在泄露后5天内仍保持有效。

凭证泄漏首次成为数据泄漏主因

2023年凭证泄露首次成为网络攻击和数据泄漏的主要原因。2023年的Sophos报告指出,凭证泄露是上半年所有攻击事件的根源之一,占比高达50%。漏洞利用紧随其后,占23%。

作为全球最受欢迎的代码托管和协作平台,GitHub上的密钥泄露事件自2020年以来呈快速恶化的增长趋势:

2020-2023年GitHub凭证信息泄漏快速2020-2023年GitHub凭证信息泄漏快速

2023年,GitGuardian扫描了11亿次提交(+10.6%),其中800万次提交至少暴露了一个秘密(+30.3%)。

GitGuardian向泄露密钥的用户发送了180万封免费电子邮件提醒,但仅仅只有1.8%的用户采取了措施纠正错误。泄露的敏感信息包括账户密码、API密钥、TLS/SSL证书、加密密钥、云服务凭证、OAuth令牌等,这些信息一旦落入外部人员手中,可能会导致数据泄露和财务损失。

凭证泄露的重灾区

2023年GitHub密钥泄露最为严重的国家是印度、美国、巴西、中国、法国、加拿大、越南、印度尼西亚、韩国和德国。

泄露最为严重的行业是IT行业,占比高达65.9%。其次是教育行业,占比20.1%。其他行业(科学、零售、制造、金融、公共管理、医疗、娱乐、交通)泄露占比为14%。

GitGuardian用通用检测器对2023年的泄露凭证进行了分析,具体类型分布如下:

前10名通用泄露凭证类型前10名通用泄露凭证类型

特定检测器可以将泄露的凭证细分更具体的类别,结果显示泄露最为严重的凭证类型包括谷歌API和谷歌云密钥、MongoDB凭证、OpenWeatherMap和Telegram机器人令牌、MySQL和PostgreSQL凭证,以及GitHub OAuth密钥。

仅在2023年,就检测到了超过100万个有效的Google API凭证、25万个Google Cloud凭证和14万个AWS凭证。

TOP10特定密钥类型TOP10特定密钥类型

值得注意的是,只有2.6%的泄露凭证会在泄露后的第一小时内被撤销,高达91.6%的凭证在5天后(GitGuardian停止监控其状态时)仍保持有效。

Riot Games、GitHub、OpenAI和AWS等公司似乎拥有较为完善的应对机制,可以帮助检测到泄露凭证的代码提交并及时补救。

AI泄密暴增

生成式AI工具在2023年呈爆发式增长,在GitHub上泄露的AI项目相关密钥数量也同步增长。

与2022年相比,2023年在GitHub上泄露的OpenAI API密钥数量激增了1212倍,平均每月泄露46,441个API密钥,成为报告中增长最快的泄露数据点。OpenAI旗下的产品ChatGPT和DALL-E广受欢迎,不仅局限于科技圈。许多企业和员工会在ChatGPT提示中输入敏感信息,一旦密钥泄露,后果将不堪设想。

开源AI模型仓库Hugging Face的泄露密钥数量也急剧增加,这与其在AI研究人员和开发者中的日益流行直接相关。

OpenAIAPI密钥与Hugging Face用户访问令牌的月度泄漏数量OpenAIAPI密钥与Hugging Face用户访问令牌的月度泄漏数量

其他AI服务(例如Cohere、Claude、Clarifai、Google Bard、Pinecone和Replicate)也出现了密钥泄露事件,但数量远低于OpenAI和Hugging Face。

不同人工智能项目的每月泄漏凭证数量(与其流行度和采用率相关)不同人工智能项目的每月泄漏凭证数量(与其流行度和采用率相关)

GitGuardian认为,不仅使用AI服务的用户需要更好地保护密钥安全,AI技术本身也需要加强检测和保护密钥。

报告指出,大语言模型(LLM)可以帮助快速分类泄露密钥并降低误报率。然而,要大规模应用此类技术,还需要解决运营成本、时间投入以及识别效率等方面的限制因素。

值得一提的是,GitHub在上个月启用了默认的推送保护功能,用于防止用户在将新代码推送到平台时意外泄露密钥。


责任编辑:华轩 来源: GoUpSec
相关推荐

2023-07-28 07:45:44

2009-07-07 09:44:47

反盗版职业团队

2011-06-15 09:32:51

搜狗地图谷歌地图LBS

2021-10-28 05:54:00

Android恶意软件网络攻击

2022-08-04 14:28:12

Github安全

2019-03-23 12:35:35

GitHub代码开发者

2012-04-09 09:47:20

2023-04-04 22:20:53

2021-01-14 11:39:05

云计算

2012-04-09 09:54:34

2015-03-13 09:20:57

2019-11-28 18:54:50

数据库黑客软件

2021-09-30 09:38:26

微软Azure积分开源项目

2012-05-02 14:22:47

微软诺基亚

2023-03-28 23:32:38

2015-03-23 10:05:14

开源代码

2019-06-06 15:33:59

GitHub微软开发者

2014-11-27 22:17:35

APP

2021-03-04 20:38:49

Open RAN网络通信

2009-01-03 12:58:33

云计算IBMSymantec
点赞
收藏

51CTO技术栈公众号