Репозитории на GitHub - рыбное место для хакеров
Знакомый админ прислал ссылку на статью об интересном исследовании.
Группа исследователей из Университета штата Северная Каролина опубликовала результаты (PDF) анализа случайного попадания конфиденциальных данных в публично доступные репозитории на GitHub. Например, из-за недосмотра в репозитории временами попадают оставленные в рабочем каталоге или вшитые в код ключи доступа к облачным сервисам, пароли к СУБД, ключи к VPN и сертификаты для цифровых подписей.
По условиям бесплатного аккаунта GitHub, размещаемый код должен находиться в публичном доступе. А народ уже как-то избалован бесплатными сервисами: Яндекс-диском, Goole Photo и прочими, где какая-никакая приватность гарантируется, если не указано обратно. И, как следствие, не задумывается при коммитах, что код содержит детали доступа.
В результате было выявлено более 100 тысяч репозиториев, содержащих токены доступа к API или криптографические ключи. Всего было получено 575456 ключей и токенов, из которых 201642 уникальны. Большая часть утечек связана с размещением токенов доступа к Google API и AWS, а также случайно попавшими в репозиторий закрытыми ключами.
Ну, компании обычно пользуются платным аккаунтом, а вот индивидуальные пользователи - бесплатным. Видимо, этим и объясняются эта цифра:
93.58% всех утечек выявлены в репозиториях, принадлежащих одному разработчику, а не совместным проектам.