Escape’in güvenlik araştırma ekibi 189,5 milyon URL’yi taradı ve 18.000’den fazla açığa çıkan API sırrını buldu. Açığa çıkan sırların %41’i son derece kritikti; yani kuruluşlar için mali risklere yol açabilirdi.
Açığa çıkan API sırları
Açığa çıkan sırlar arasında yüzlerce Stripe, GitHub/GitLab tokenı, RSA özel anahtarı, OpenAI anahtarları, AWS tokenları, Twitch gizli anahtarları, kripto para birimi değişim anahtarları, X tokenları ve Slack ve Discord web kancaları yer alıyor.
GitGuardian’ın ‘Gizli Yayılma Durumu’ yalnızca 2023’te gizli yayılımda %67’lik bir artış olduğunu ve GitHub’da 10 milyon yeni gizli ifşa vakasının olduğunu gösteriyor. Bu sorun GitHub’un ötesine geçerek tüm yazılım geliştirme ve operasyon yönlerini etkiliyor.
“Araştırmamız, API gizli yayılımının giderek artan zorluğunu ele alıyor. Genel kodun ötesinde, odak noktamız gerçek dünya uygulamalarına uzanarak API güvenlik açıklarının kapsamlı bir şekilde anlaşılmasını sağlar. Escape CEO’su Tristan Kalos, yapay zeka hizmet anahtarlarından finansal erişim ve iletişim araçlarına kadar açığa çıkan sırların çeşitliliği, hassas bilgilerin güvenliğinin sağlanması konusundaki yaygın zorluğu vurguluyor” dedi.
Escape’in web tarayıcısı, uygulamaları gerçek kullanım senaryolarında analiz ederek API’lerden ön uçlara kadar her şeyi (JavaScript gibi arka planda çalışan öğeler de dahil) inceledi. Bu yaklaşım, API gizli anahtarlarının ve belirteçlerinin yalnızca kod depolarında değil, gerçek dünya ortamlarında nasıl ve nerede açığa çıktığını gösterir.
Riskler nasıl azaltılır
Kaçış araştırmacıları riskleri azaltmak için şu temel adımları özetledi:
- Token yönetimini merkezileştirin: Tokenların yönetimini merkezileştirerek güvenli depolama, erişim ve rotasyon sağlayabilirsiniz. Tüm tokenlerin tek bir yerde tutulması, kullanımlarının kapsamlı bir şekilde izlenmesini sağlar.
- Jetonları düzenli olarak döndürün: Belirteçlerin sık sık güncellenmesi olası bir uzlaşmanın etkisini azaltabilir. AWS Secrets Manager gibi araçlar bu gizli dizileri döndürme sürecini otomatikleştirebilir.
- Belirteçleri belirli ekiplere veya hizmetlere tahsis edin: Her jetonu, onu gerektiren belirlenmiş ekiplere veya hizmetlere atayın.
- Bir iptal stratejisi geliştirin: Bir güvenlik ihlali meydana gelirse jetonları hızlı bir şekilde iptal etmek için basit bir süreç uygulayın.
- Uygun izinleri atayın: Her jetonun izinlerini yalnızca gerekli olanla sınırlandırın, böylece büyük hasar olasılığını azaltın.
- Belirteç kapsamını kısıtla: Sisteminizdeki her bir belirtecin erişimini sınırlayın.
- Belirteç kullanım modellerini izleyin: Belirteçlerin anormal veya şüpheli etkinlikleri nasıl tespit ettiğini aktif olarak gözlemleyin.
- Dahili ekiplerinizi eğitin: Tüm ekip üyelerinin token güvenliğinin önemi konusunda iyi bilgilendirildiğinden ve yerleşik en iyi uygulamaları tutarlı bir şekilde takip ettiğinden emin olun.