В отчёте за 2023 год эксперты GitGuardian
Доверие к публичным репозиториям снижается. Ключи, опубликованные в GitHub или PyPI, считаются скомпрометированными. В ходе исследований было установлено, что honeytoken (поддельный ключ, не имеющий доступа ни к каким ресурсам) проверялся на валидность ботами в течение минуты после публикации на GitHub.
К 2024 году ситуация ухудшилась: стало известно уже о более чем 12,8 миллионах подобных случаев. Кроме того, были зафиксированы утечки в популярном репозитории Python PyPI. Общий объём утечек превысил 20 терабайт. Особый повод для беспокойства вызывает то, что злоумышленники могут использовать опубликованные секреты для доступа к счетам за облачные услуги (cloud bill). Более того, избыточные полномочия секрета могут привести к утечке ещё более серьёзной информации.
Ссылка скрыта от гостей
, что в публичных коммитах на GitHub было обнаружено более 10 миллионов раскрытых секретов и ключей аутентификации. Наиболее часто раскрываемыми секретами стали ключи API OpenAI, ключи API Google и ключи Google Cloud. Это создаёт риск несанкционированного доступа и угрозу утечки данных. Опытные специалисты могут найти общий формат секрета, используя регулярные выражения и автоматизированные проверки на валидность. Таким образом они получают доступ к конфиденциальной информации.Доверие к публичным репозиториям снижается. Ключи, опубликованные в GitHub или PyPI, считаются скомпрометированными. В ходе исследований было установлено, что honeytoken (поддельный ключ, не имеющий доступа ни к каким ресурсам) проверялся на валидность ботами в течение минуты после публикации на GitHub.
К 2024 году ситуация ухудшилась: стало известно уже о более чем 12,8 миллионах подобных случаев. Кроме того, были зафиксированы утечки в популярном репозитории Python PyPI. Общий объём утечек превысил 20 терабайт. Особый повод для беспокойства вызывает то, что злоумышленники могут использовать опубликованные секреты для доступа к счетам за облачные услуги (cloud bill). Более того, избыточные полномочия секрета могут привести к утечке ещё более серьёзной информации.