GitGuardian'a göre 2023'te GitHub'da 12,8 milyon yeni gizli bilgi kamuya açık olarak sızdırıldı; bu, 2022'ye kıyasla %28 artış anlamına geliyor. Dikkat çekici bir şekilde, şirketin 2021'de raporlamaya başlamasından bu yana kamuya açık sırların görülme sıklığı dört kat arttı.
Şirketlerin hassas bilgilerin açığa çıkmasını yönetmesi gerekiyor
Geçen yıl eklenen 50 milyon yeni kod deposuyla (+%22) GitHub'daki kod havuzlarının artan sayısı, hassas bilgilerin hem kazara hem de kasıtlı olarak açığa çıkması riskini artırıyor.
Bu gerçek, şirketlerin hassas bilgilerinin açığa çıkmasını takip etme ve yönetme konusundaki hayati ihtiyacın altını çiziyor. Pek çok kişi farkında olmadan ya da bunları hafifletecek araçlar olmadan ihlallere karşı savunmasız kalıyor.
Yalnızca 2023 yılında Google API sırlarının 1 milyondan fazla geçerli oluşumu, 250.000 Google Cloud sırrı ve 140.000 AWS sırrı tespit edildi.
Yazılım satıcılarını da içeren BT sektörü, tespit edilen sızıntıların %65,9'u ile en çok etkilenen sektör olurken, diğer sektörler de etkilendi. Bunlar arasında sırasıyla sızıntıların %20,1, %7, %1,5, %1,2 ve %1'ini oluşturan eğitim, bilim ve teknoloji, perakende, üretim ve finans ve sigorta yer alıyor.
Bu, gizli yayılmayla ilişkili riskler artmaya devam ederken, tüm sektörlerde hassas bilgilerin korunması için daha fazla dikkat ve proaktif önlemlere duyulan ihtiyacın altını çiziyor.
Araştırma önemli bir güvenlik açığına ışık tutuyor: Geçerli bir sırrın açığa çıkması üzerine %90'ı, yazar bilgilendirildikten sonra bile en az beş gün boyunca aktif kalıyor. Cloudflare, AWS, OpenAI ve hatta GitHub gibi büyük hizmet sağlayıcılara yönelik API anahtarları ve kimlik doğrulama belirteçleri genellikle iptal edilmeyen sırlardan etkilenir.
“Sızdıran taahhütleri veya depoları iptal etmek yerine silen geliştiriciler, kimlik bilgileri geçerli kaldığı sürece halka açık GitHub etkinliğini yansıtan tehdit aktörlerine karşı savunmasız kalacak olan şirketler için büyük bir güvenlik riski oluşturuyor. Bu zombi sızıntıları en kötüsüdür” dedi GitGuardian CEO'su Eric Fourrier.
Zombi sızıntılarının yaygınlığı hafife alınmış olabilir
Zombi sızıntılarının yaygınlığını değerlendirmek için çalışma, bir sırrı açığa çıkaran 5.000 silinmiş işlemden oluşan rastgele bir örnek seçti. Bu taahhütleri barındıran depolardan yalnızca %28,2'sine çalışma sırasında hala erişilebilir durumdaydı.
Bu, geri kalan depoların sızıntıya yanıt olarak büyük olasılıkla silindiğini veya özel hale getirildiğini gösteriyor; bu da zombi sızıntılarının yaygınlığının hafife alınabileceğini gösteriyor.
Ayrıca çalışma, şirketlerin DMCA yayından kaldırma işlemlerini, üzerinde kontrol sahibi olmadıkları sızdıran veri havuzlarını yönetmek için bir araç olarak kullanabileceğini öne sürüyor. Bunu destekleyecek şekilde çalışma, 2023 yılında GitHub tarafından ele geçirilen 2.050 veri deposunun %12,4'ünün en az bir sırrı açığa çıkardığını buldu; bu da 2020'ye göre %37,8'lik bir artışı temsil ediyor.
Bu bulgular, sırların yayılması sorununun tam kapsamını kavramak için çok önemlidir. Çoğu güvenlik girişimi sızıntıları tespit etmeye odaklanırken, darboğaz güvenlik duruşunun iyileştirilmesinde yatmaktadır. Geliştiricileri basitçe uyarmak yetersiz kalıyor; asıl önemli olan, onlara hatalarını etkili bir şekilde düzeltmeleri için gerekli rehberlik ve desteği sağlamaktır.
Fourrier, “2022'de bir bilgisayar korsanının sunucularından birinin kimlik bilgilerini GitHub'da yayınlanan kaynak kodundan elde etmesinden sonra meydana gelen Toyota ihlali, sızıntıdan beş yıl sonra bile bir uzlaşmanın hala gerçekleşebileceğinin kanıtıdır” dedi.
Sırların yayılması kod depolarından daha fazlasını etkiliyor
2023 yılı, kullanıcı dostu sohbetler ve geliştirici dostu API'lerin kolaylaştırdığı hızlı benimsenmeyle çeşitli profesyonel alanları önemli ölçüde etkileyen üretken yapay zekanın çığır açıcı yılı oldu. Gördüğümüz gibi geliştiriciler bu yeni dalganın ön saflarında yer alıyor ve bu güçlü teknolojinin hem iyi hem de kötü aktörlerin elinde siber güvenlik üzerinde çok büyük bir etkisi olacağına şüphe yok.
Çalışma aynı zamanda özel arşivlerde sızdırılan sırların yüzde 3,11'inin kamuya açık arşivlerde de açığa çıktığını ortaya koyuyor. Bu, bir güvenlik katmanı olarak kaynak kodunun gizliliğine güvenmenin geçerli bir strateji olduğu fikrini ortadan kaldırır.
Bu yıl GitGuardian, PyPI (Python topluluğu için resmi üçüncü taraf paket yönetim sistemi) içindeki sızdırılan sırların yaygınlığına ilişkin araştırmasını genişletti. 2023 yılında paket sürümlerinde 11.054 benzersiz sır açığa çıktı. Bu sırların yaklaşık 10.000'i 2023 öncesinden bu yana mevcuttu ve 1.000'den fazlası o yıl tanıtılmıştı.
Son olarak rapor, sırların yayılmasıyla mücadele etmeye kararlı kuruluşlar için bir dizi değerli öneri sunuyor. Farkındalık, eğitim ve verimli, otomatikleştirilmiş süreçlerin bir karışımı esastır. Ancak kuruluşların aynı zamanda keşif araçlarını ve sağlam kontrolleri de kullanması gerekir. Sırların sürekli güvenlik değerlendirmesini kolaylaştıran, yazılım geliştirme yaşam döngüsü boyunca tutarlı politikaları uygulayan ve olay çözümünü hızlandıran sır tespit ve düzeltme platformları tam da burada devreye giriyor.
GitHub'un popülaritesi arttıkça, kötü niyetli aktörleri giderek daha fazla kendine çekiyor ve onu siber tehditler için merkezi bir merkez olarak konumlandırıyor.