Thomas Segura, Siber Güvenlik Uzmanı, GitGuardian
Son birkaç hafta, veri koruma uzmanları için çok zorlu geçti. Çok kısa bir süre içinde, birçok haber işletmelerin, tüketicilerin ve hükümetlerin hassas verileri koruma çabalarına darbe vurdu.
Discord’a sızdıran 21 yaşındaki gizli bir askeri istihbarattan, şirket sırlarını ChatGPT’ye sızdıran Samsung çalışanlarına, OpenAI tabanlı uygulamalar geliştirmek için acele eden ve kodlarındaki API anahtarlarını sızdıran üçüncü taraf geliştiricilere kadar tüm bu hikayelerin öğrenilmesi gereken bir ders var. bize hatırlatın: hassas veri sızıntısı potansiyeli her zaman mevcuttur ve kuruluşlar içinde temel koruyucu önlemler gerektirir.
Hassas Verilerin Açıklanması
Bu hikayelerin ortak noktalarından biri insan faktörüdür. Samsung söz konusu olduğunda, Güney Koreli elektronik devinin çalışanların üretken yapay zeka aracına erişmesine izin vermesinden sadece üç hafta sonra çalışanların hassas bilgileri ChatGPT’ye üç farklı durumda yüklediği bildirildi.
Benzer şekilde, OpenAI tabanlı uygulamalar oluşturmak için acele eden üçüncü taraf geliştiriciler, yakın zamanda Twitter’da Cyril Zakka tarafından açıklandığı gibi, API anahtarlarını düz metin olarak saklıyordu:
Dizide vurgulandığı gibi, API anahtarlarını bir uygulama paketi içinde saklamak “herhangi bir süslü alet veya fazla çaba gerektirmeden düz dizide sunulduklarından, çıkarmayı özellikle kolaylaştırır.”
Bu tam olarak GitGuardian’ın State of Secrets Sprawl’ın birkaç yıldır izlediği ve raporladığı şey: sabit kodlanmış kimlik bilgilerinin sayısı hızla artmaya devam ediyor. Aslında, en son sürümünde rapor, her yıl halka açık GitHub’da bulunan sırların sayısında yıldan yıla %67’lik endişe verici bir artış olduğunu belirtti. GitGuardian algılama motoru, 2022’de 1.027 milyar yeni taahhüdü taradı ve 10 milyon gizli olay buldu.
Daha spesifik olarak sızıntıları izlemek için yakınlaştırırsak OpenAI API anahtarları GitHub’da sonuçlar kendi adına konuşur:
Kısacası, OpenAI’nin GPT’si gibi çok yeni bir teknolojinin popülaritesini ölçmek söz konusu olduğunda, en iyi ölçümlerden biri, halka açık GitHub’a sızan ilgili sırların sayısını ölçmektir.
Bu roketi besleyen nedir? BT dünyasında, bahsettiğimiz API anahtarları gibi dijital kimlik doğrulama bilgileri, aynı zamanda sertifikalar ve belirteçler uygulamalar, hizmetler ve altyapılar arasındaki yapıştırıcıdır. Bu bileşenlerin sayısı bugün birkaç yıl öncesine göre çok daha fazladır. Bir araya getirildiklerinde günümüz uygulamalarının büyük çoğunluğunu oluştururlar. Örneğin, BetterCloud’a göre dünya çapındaki kuruluşlar tarafından kullanılan hizmet olarak yazılım (SaaS) uygulamalarının ortalama sayısı 2015 ile 2021 arasında 14 kat arttı.
Sektörde çalışan kişiler, sırlar gibi hassas bilgileri doğrudan yapılandırma dosyalarına, komut dosyalarına, kaynak koduna ve hatta kolaylık sağlamak için özel mesajlara gelişigüzel ekleme eğilimindedir. Sırları bu şekilde sabit kodlama uygulaması, bu hassas bilgi parçalarının uygun koruma olmadan klonlandıkça veya paylaşıldıkça çeşitli kod havuzlarına yayılabileceği “gizlerin yayılması” dediğimiz olayda önemli bir artışa yol açar.
Bu kimlik bilgileri sızıntıları her zaman acil bir tehdit teşkil etmese de, GitHub’da her yıl açığa çıkan artan sayıda sır, yazılım odaklı kuruluşların güvenli kodlama uygulamalarına öncelik vermesi ve hassas bilgileri ve sırları kaynak kodun dışında tutması gerektiğini vurgulayan bir tehlike işaretidir.
Giderek Ciddileşen Sonuçlar
Son olarak, sanki hassas veri korumanın gerçek sonuçları olduğunu bir kez daha hatırlatmaya ihtiyacımız varmış gibi, yakın zamanda meydana gelen başka bir olay gezegendeki en güçlü kurumlardan birini sarstı.
Soruşturma altındaki bir vaka olan “Pentagon sızıntısı”, Nisan ayı başlarında web üzerinden yayılan popüler bir oyun sohbet platformu olan özel bir Discord sunucusunda çok gizli askeri istihbaratın büyük bir sızıntısına atıfta bulunuyor. Basına göre belgeler, Ukrayna-Rusya savaş beklentileri ve binlerce istihbarat raporu gibi ABD için en hassas bilgilerden bazılarını içeriyordu. Olayın, Amerika Birleşik Devletleri’nin müttefiklerinden gelen gizli dinleme şüphesinin artması gibi uluslararası yankıları zaten var.
Sızıntılar, askeri sırları korumak için kullanılan teknolojilerin ilerlemesini sorgulamanın ötesinde, en sağlam güvenlik protokollerinin bile insan hatası veya kötü niyetle tehlikeye girebileceğini acı bir şekilde hatırlatıyor.
Çözüm
Hassas bilgi sızıntılarıyla ilgili son manşetler, kuruluşların hassas verilerini korumaya öncelik vermesi gerektiğini vurguluyor. Kurumsal ticari sırlardan gizli devlet belgelerine kadar hiçbir kuruluş veri sızıntısı risklerinden muaf değildir. İnsan faktörü, güvenlik protokollerinde ortak bir zayıf noktadır ve kuruluşların çalışan eğitimine ve güvenli kodlama uygulamalarına öncelik vermesini çok önemli hale getirir.
Yazılım alanında, programatik kimlik bilgileri veya sırlar en hassas verilerden biridir. Son zamanlardaki ihlallerin gösterdiği gibi, güvenlik açıkları bir kuruluşun BT sistemlerinin tamamen ele geçirilmesine yol açabilir.
Bir siber güvenlik şirketi olan GitGuardian, kuruluşlara hassas verilerini güvende tutmak için ihtiyaç duydukları araçları sağlayarak, sabit kodlanmış sırları belirleme ve önleme konusunda uzmanlaşmıştır. Önlemenin veri sızıntılarına karşı en iyi savunma olduğuna inanıyoruz. Kuruluşlar, platformumuzu kullanarak sızan sırları bir güvenlik açığı haline gelmeden önce tespit edebilir, hassas verilerini koruyabilir ve itibar zedelenmesi, gelir kaybı ve yasal sorumluluk risklerini azaltabilir.
Hassas verilerinizin korunmasına nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ve herkese açık GitHub’da gizli sızıntılarınızın ücretsiz ve ücretsiz denetimini almak için bugün bize ulaşın.
yazar hakkında
Thomas Segura, Siber Güvenlik Uzmanı, GitGuardian. Thomas, çeşitli büyük Fransız şirketlerinde hem analist hem de yazılım mühendisi danışmanı olarak çalıştı. Teknolojiye ve açık kaynağa olan tutkusu, teknik içerik yazarı olarak GitGuardian’a katılmasına yol açtı. Şimdi, siber güvenlik ve yazılımın geçirmekte olduğu dönüştürücü değişiklikleri netleştirmeye odaklanıyor.
Thomas’a çevrimiçi olarak web sitemizden ulaşılabilir: https://www.gitguardian.com/ veya twitter: https://twitter.com/GitGuardian Ve LinkedIn: https://www.linkedin.com/company/gitguardian.