GitHub teve 13 milhões de chaves de autenticação vazadas

Da Redação
15/03/2024

Os usuários do GitHub expuseram acidentalmente 12,8 milhões de chaves de autenticação e dados confidenciais em mais de 3 milhões de repositórios públicos durante 2023, com a grande maioria permanecendo válida após cinco dias. Isso é um reflexo do fato de especialistas em segurança cibernética da GitGuardian terem enviado 1,8 milhão de alertas gratuitos por e-mail para aqueles que expuseram segredos e constatado que apenas 1,8% dos contatados tomaram medidas rápidas para corrigir o erro.

Os segredos expostos incluem senhas de contas, chaves de API, certificados TLS/SSL (Transport Layer Security/Secure Sockets Layer), chaves de criptografia, credenciais de serviços em nuvem, tokens OAuth e outros dados confidenciais que podem dar a atores externos acesso ilimitado a vários recursos e serviços privados, levando a violações de dados e danos financeiros.

A GitGuardian afirma que a exposição secreta no GitHub, a plataforma de hospedagem e colaboração de código mais popular do mundo, segue uma tendência negativa desde 2020.

Os países “com maior vazamento” em 2023 foram Índia, Estados Unidos, Brasil, China, França, Canadá, Vietnã, Indonésia, Coreia do Sul e Alemanha.

Em termos de quais setores vazaram mais segredos, TI lidera a lista com a maior parte de 65,9%, seguida pela educação com notáveis 20,1%, e todos os outros combinados (ciência, varejo, manufatura, finanças, administração pública, saúde, entretenimento , transporte) representando 14%.

Os detectores genéricos da plataforma automatizada de detecção e remediação de segredos digitais capturaram cerca de 45% de todos os dados confidenciais que a empresa detectou em 2023. Já os detectores específicos que podem identificar segredos vazados em categorias mais tangíveis indicam uma exposição massiva de API do Google e chaves do Google Cloud, credenciais MongoDB, tokens de bot OpenWeatherMap e Telegram, credenciais MySQL e PostgreSQL e chaves GitHub OAuth.

De acordo com a GitGuardian, 2,6% dos segredos expostos são revogados na primeira hora, mas impressionantes 91,6% permanecem válidos mesmo depois de cinco dias, quando a plataforma para de monitorar seu status.

Segundo a empresa, a Riot Games, GitHub, OpenAI e AWS parecem ter os melhores mecanismos de resposta para ajudar a detectar commits (unidades estruturais) incorretos e remediar a situação.

As ferramentas de IA generativa continuaram seu crescimento explosivo em 2023, também refletido no número de segredos relevantes expostos no GitHub no ano passado. A GitGuardian viu um aumento massivo de 1.212 vezes no número de chaves de API OpenAI vazadas no GitHub na comparação com 2022, expondo uma média de 46.441 chaves de API por mês, atingindo o ponto de dados de maior crescimento no relatório.

OpenAI é conhecida por produtos como ChatGPT e DALL-E, que têm uso generalizado além da comunidade tecnológica. Muitas empresas e funcionários inserem informações confidenciais nos prompts do ChatGPT, e a exposição dessas chaves é extremamente arriscada.

Veja isso
Token GitHub usado errado expôs código-fonte da Mercedes-Benz
GitHub aprimora recursos de segurança com IA

O repositório de modelos de IA de código aberto HuggingFace teve um aumento acentuado no vazamento de segredos, o que está diretamente associado à sua crescente popularidade entre pesquisadores e desenvolvedores de IA.

Outros serviços de IA, como Cohere, Claude, Clarifai, Google Bard, Pinecone e Replicate, também tiveram vazamentos secretos, embora em um nível muito inferior.

Embora aqueles que usam serviços de IA precisem proteger melhor seus segredos, a GitGuardian diz que as tecnologias também podem ser usadas para detectar e proteger segredos. A empresa afirma que grandes modelos de linguagem (LLMs) podem ajudar a categorizar segredos vazados rapidamente e com menos falsos positivos. No entanto, a enorme escala operacional, as considerações de custo e tempo e a eficiência da identificação são fatores limitantes que mantêm tais esforços desafiadores, pelo menos por enquanto.

No mês passado, o GitHub habilitou a proteção push por padrão para evitar a exposição acidental de segredos ao enviar novo código para a plataforma.

Para acessar o relatório completo da  GitGuardian (em inglês) clique aqui.

Compartilhar: