GitHub kullanıcıları, 2023 yılında 3 milyondan fazla halka açık depoda bulunan 12,8 milyon kimlik doğrulama ve hassas sırrı yanlışlıkla açığa çıkardı; büyük çoğunluğu beş gün sonra geçerliliğini korudu.
Bu, sırları ifşa edenlere 1,8 milyon ücretsiz e-posta uyarısı gönderen GitGuardian'daki siber güvenlik uzmanlarına göre, iletişime geçilenlerin yalnızca %1,8'inin hatayı düzeltmek için hızlı harekete geçtiğini gördü.
Açığa çıkan sırlar arasında hesap şifreleri, API anahtarları, TLS/SSL sertifikaları, şifreleme anahtarları, bulut hizmeti kimlik bilgileri, OAuth belirteçleri ve harici aktörlerin çeşitli özel kaynaklara ve hizmetlere sınırsız erişim sağlayarak veri ihlallerine ve mali hasara yol açabilecek diğer hassas veriler yer alıyor. .
2023 tarihli bir Sophos raporu, yılın ilk yarısında kaydedilen tüm saldırıların temel nedeninin %50'sinin ele geçirilen kimlik bilgilerinden kaynaklandığını ve bunu, vakaların %23'ünde saldırı yöntemi olan güvenlik açığından yararlanmanın takip ettiğini vurguladı.
GitGuardian, dünyanın en popüler kod barındırma ve işbirliği platformu GitHub'daki gizli bilginin 2020'den bu yana olumsuz bir trend izlediğini söylüyor.
2023'ün “en sızdıran” ülkeleri Hindistan, ABD, Brezilya, Çin, Fransa, Kanada, Vietnam, Endonezya, Güney Kore ve Almanya oldu.
En çok sırların sızdırıldığı sektörler açısından bakıldığında, BT %65,9'luk aslan payıyla listenin başında yer alırken onu %20,1'lik kayda değer bir payla eğitim ve diğer tüm sektörler (bilim, perakende, imalat, finans, kamu yönetimi, sağlık, eğlence) takip ediyor. , ulaşım) %14'e karşılık gelmektedir.
Firmanın 2023 yılında tespit ettiği tüm sırların yaklaşık %45'ini yakalayan GitGuardian'ın jenerik dedektörleri şu şekilde analiz ediliyor.
Sızan sırları tespit edebilen ve daha somut kategorilere indirebilen özel dedektörler, Google API ve Google Cloud anahtarlarının, MongoDB kimlik bilgilerinin, OpenWeatherMap ve Telegram bot tokenlarının, MySQL ve PostgreSQL kimlik bilgilerinin ve GitHub OAuth anahtarlarının büyük ölçüde açığa çıktığını gösteriyor.
Açığa çıkan sırların %2,6'sı ilk saat içinde iptal edilir, ancak %91,6 gibi büyük bir oran GitGuardian'ın durumlarını izlemeyi bıraktığı beş gün sonra bile geçerliliğini korur.
Riot Games, GitHub, OpenAI ve AWS, hatalı işlemleri tespit etmeye ve durumu düzeltmeye yardımcı olacak en iyi yanıt mekanizmalarına sahip gibi görünüyor.
trenddeyim
Üretken yapay zeka araçları, geçen yıl GitHub'da açığa çıkan ilgili sırların sayısına da yansıyan şekilde, 2023'te patlayıcı büyümesini sürdürdü.
GitGuardian, 2022'ye kıyasla GitHub'da sızdırılan OpenAI API anahtarlarının sayısında 1.212 kat büyük bir artış gördü ve ayda ortalama 46.441 API anahtarı sızdırarak rapordaki en yüksek büyüyen veri noktasına ulaştı.
OpenAI, teknoloji topluluğunun ötesinde yaygın kullanıma sahip olan ChatGPT ve DALL-E gibi ürünlerle tanınıyor. Birçok işletme ve çalışan, ChatGPT istemlerine hassas bilgiler giriyor ve bu anahtarların açığa çıkması son derece riskli.
Açık kaynaklı yapay zeka modelleri deposu HuggingFace'in sızdırılan sırlarında ciddi bir artış yaşandı ve bu, yapay zeka araştırmacıları ve geliştiricileri arasında artan popülerliğiyle doğrudan bağlantılı.
Cohere, Claude, Clarifai, Google Bard, Pinecone ve Replicate gibi diğer yapay zeka hizmetlerinde de çok daha düşük düzeyde de olsa gizli sızıntılar yaşandı.
Yapay zeka hizmetlerini kullananların sırlarını daha iyi korumaya ihtiyaçları olsa da GitGuardian, teknolojilerin sırları tespit etmek ve güvence altına almak için de kullanılabileceğini söylüyor.
GitGuardian, büyük dil modellerinin (LLM'ler) sızdırılan sırları hızlı bir şekilde ve daha az hatalı pozitif sonuçla tespit edebildiğini söylüyor.
Ancak devasa operasyonel ölçek, maliyet ve zaman hususları ve tanımlama verimliliği, bu tür çabaları en azından şimdilik zorlayıcı kılan sınırlayıcı faktörlerdir.
Geçtiğimiz ay GitHub, platforma yeni kod aktarırken sırların yanlışlıkla açığa çıkmasını önlemek için varsayılan olarak push korumasını etkinleştirdi.