Usuários do GitHub expuseram acidentalmente 12,8 milhões de autenticações e dados sensíveis em mais de 3 milhões de repositórios públicos durante 2023, com a grande maioria permanecendo válida após cinco dias.
Isso é segundo especialistas em cibersegurança da GitGuardian, que enviaram 1,8 milhão de alertas de e-mail de cortesia para aqueles que expuseram segredos, vendo apenas uma minúscula parcela de 1,8% daqueles contatados tomando ações rápidas para corrigir o erro.
Os segredos expostos incluem senhas de contas, chaves API, certificados TLS/SSL, chaves de criptografia, credenciais de serviço de nuvem, tokens OAuth e outros dados sensíveis que poderiam dar a atores externos acesso ilimitado a vários recursos e serviços privados, levando a violações de dados e danos financeiros.
Um relatório da Sophos em 2023 destacou que as credenciais comprometidas foram responsáveis por 50% da causa raiz de todos os ataques registrados no primeiro semestre do ano, seguidos pela exploração de vulnerabilidades, que foi o método de ataque em 23% dos casos.
A GitGuardian diz que a exposição de segredos no GitHub, a plataforma de hospedagem e colaboração de código mais popular do mundo, seguiu uma tendência negativa desde 2020.
Os países "mais vazados" para 2023 foram Índia, Estados Unidos, Brasil, China, França, Canadá, Vietnã, Indonésia, Coréia do Sul e Alemanha.
Em termos de quais setores vazaram mais segredos, TI lidera a lista com a maior parte de 65,9%, seguido pela educação com notáveis 20,1%, e todos os outros combinados (ciência, varejo, manufatura, finanças, administração pública, saúde, entretenimento, transporte) representando 14%.
Os detectores genéricos da GitGuardian, que pegaram cerca de 45% de todos os segredos que a empresa detectou em 2023, são analisados da seguinte forma.
Os detectores específicos que podem identificar e suavizar segredos vazados em categorias mais tangíveis indicam uma exposição massiva de chaves da API do Google e do Google Cloud, credenciais do MongoDB, tokens de bot do OpenWeatherMap e Telegram, credenciais do MySQL e PostgreSQL, e chaves OAuth do GitHub.
2,6% dos segredos expostos são revogados dentro da primeira hora, mas impressionantes 91,6% permanecem válidos mesmo após cinco dias, que é quando a GitGuardian para de monitorar seu status.
As empresas Riot Games, GitHub, OpenAI e AWS parecem ter os melhores mecanismos de resposta para detectar commits ruins e remediar a situação.
As ferramentas de IA generativa continuaram seu crescimento explosivo em 2023, também refletido no número de segredos relevantes expostos no GitHub no último ano.
A GitGuardian viu um aumento massivo de 1.212x no número de chaves API do OpenAI vazadas no GitHub em comparação com 2022, vazando uma média de 46.441 chaves API por mês, alcançando o ponto de crescimento de dados mais alto no relatório.
O OpenAI é conhecido por produtos como ChatGPT e DALL-E, que têm uso generalizado além da comunidade tecnológica.
Muitos negócios e empregados inserem informações sensíveis em prompts ChatGPT, e a exposição dessas chaves é extremamente arriscada.
O repositório de modelos AI de código aberto HuggingFace teve um aumento acentuado em segredos vazados, que está diretamente associado à sua crescente popularidade entre pesquisadores e desenvolvedores de IA.
Outros serviços de IA, como Cohere, Claude, Clarifai, Google Bard, Pinecone, e Replicate, também tiveram vazamentos de segredos, embora em um nível muito menor.
Enquanto aqueles que usam serviços de IA precisam melhor proteger seus segredos, a GitGuardian diz que as tecnologias também podem ser usadas para detectar e proteger segredos.
A GitGuardian diz que grandes modelos de linguagem (LLMs) podem ajudar a categorizar segredos vazados rapidamente e com menos falsos positivos.
No entanto, a escala operacional maciça, as considerações de custo e tempo, e a eficiência de identificação são todos fatores limitantes que mantêm tais empreendimentos desafiadores, pelo menos por enquanto.
No mês passado, o GitHub ativou a proteção push por padrão para prevenir a exposição acidental de segredos ao enviar novo código para a plataforma.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...