Анализ утечек конфиденциальных данных через репозитории на GitHub

Группa исслeдoвaтeлeй изо Унивeрситeтa штaтa Сeвeрнaя Кaрoлинa oпубликoвaлa рeзультaты (PDF) aнaлизa случaйнoгo пoпaдaния кoнфидeнциaльныx дaнныx в публичнo дoступныe рeпoзитoрии нa GitHub. Нaпримeр, с-за недосмотра в репозитории временами попадают оставленные в рабочем каталоге разве вшитые в код ключи доступа к облачным сервисам, пароли к СУБД, Шлюзы к VPN и сертификаты для цифровых подписей. В ходе проделанной работы был исследован якобы статических срез, включающий 13% репозиториев возьми GitHub (около 4 млн репозиториев), неизвестно зачем и проанализирована динамика появления новых утечек, с целью чего на протяжении 6 месяцев отслеживались хана новые коммиты на GitHub. Пользу кого анализа использовались срезы содержимого GitHub, предоставляемые по вине хранилище BigQuery, а также запросы после Google Search API. Проверка охватывала чуть типовые форматы закрытых ключей и токены доступа к особо популярным платформам, таким как Amazon Web Services (AWS), Azure, Twitter, Google Cloud, Slack, Stripe, Facebook, Mailchimp, MailGun, Twilio, Square, Braintree и Picatic. В результате было выявлено паче 100 тысяч репозиториев, содержащих токены доступа к API река криптографические ключи. Всего было получено 575456 ключей и токенов, с которых 201642 уникальны. Большая выпуск утечек связана с размещением токенов доступа к Google API и AWS, а да случайно попавшими в репозиторий закрытыми ключами. 93.58% всех утечек выявлены в репозиториях, принадлежащих одному лицу, а безвыгодный совместным проектам. Непрерывный мониторинг показал, ровно ежедневно на GitHub попадает (хоть) немного тысяч новых утечек конфиденциальных данных. 6% изо выявленных в ходе динамического мониторинга утечек были залпом замечены разработчиками и удалены в течение часа. 12% забытых ключей оставались в открытом доступе без- больше 24 часов, а 19% предварительно 16 дней. Из наиболее заметных утечек отмечается угадывание в репозиторий учётных данных к окружениям AWS, используемым одним с крупных сайтов, которым пользуются несметное число учащихся колледжей в США, а также к AWS-окружению сайта государственного учреждения одной с стран Восточной Европы. Кроме того, выявлено 564 ключа к Google API, которые использовались для того копирования роликов YouTube на Вотан из сайтов обмена видео в дозор ограничений YouTube. В размещённых в репозиториях файлах конфигурации OpenVPN было выявлено 7280 оставленных RSA-ключей, позволяющих выцарапать доступ к тысячам различных приватных сетей. В дальнейшем передачи информации о выявленных утечках в GitHub, разработчики данного сервиса запустили в тестовом режиме систему автоматизированного сканирования в репозиториях типовых параметров подключения к внешним API. Около выявлении утечек сервис-провайдерам направляются уведомления угоду кому) отзыва скомпрометированных токенов.