Sekelompok peneliti dari University of North Carolina (North Carolina State University, NCSU) melakukan studi layanan untuk hosting proyek-proyek TI dan pengembangan bersama mereka dari GitHub. Para ahli telah menemukan bahwa lebih dari 100 ribu repositori GitHub berisi kunci API, token, dan kunci kriptografi.
Masalah kebocoran informasi penting yang tidak disengaja (kunci enkripsi, token dan kunci API dari berbagai layanan online, dll.) Telah lama menjadi salah satu topik terpanas.
Berkat kebocoran tersebut, beberapa insiden besar dengan data pribadi telah terjadi (Uber, DJI, DXC Technologies, dll.).
Antara 31 Oktober 2017 dan 20 April 2018, peneliti dari NCSU merangkak 4.394.476 file dalam 681.784 repositori melalui API pencarian GitHub sendiri dan 2.312.763.353 file dalam 3.374.973 repositori yang telah dikompilasi dalam database Google BigQuery.
Dalam proses pemindaian, para ahli mencari string yang akan berada di bawah template kunci API (Stripe, MailChimp, YouTube, dll.), Token (Amazon MWS, PayPal Braintree, Amazon AWS, dll.) Atau kunci kriptografi (RSA, PGP, dll.).
Secara total, para ahli menemukan sekitar 575.476 token, API dan kunci kriptografi, dengan 201.642 di antaranya menjadi unik. 93,58% dari temuan dikaitkan dengan akun dengan satu pemilik.
Ketika secara manual memeriksa bagian dari hasil yang dipilih, kredensial AWS ditemukan untuk situs departemen pemerintah utama di salah satu negara Eropa Barat dan untuk server dengan jutaan aplikasi untuk masuk ke perguruan tinggi Amerika.
Tren yang menarik terungkap selama penelitian: jika pemilik data mendeteksi kebocoran, maka 19% dari data yang dipantau oleh para ahli telah dihapus (seperti "dihapus", lihat di bawah) dalam 16 hari (12% dari mereka pada hari pertama), dan 81% tidak dihapus selama periode observasi.
Yang paling menarik adalah bahwa semua data yang "dihapus" yang diamati oleh peneliti sebenarnya tidak dihapus secara fisik, dan pemiliknya hanya membuat komit baru.
Pada akhir tahun lalu, kami menulis catatan kecil tentang Habr , di mana kami menjelaskan cara menggunakan solusi DeviceLock DLP untuk mencegah kebocoran yang tidak disengaja dengan mengendalikan data yang diunduh ke GitHub.
Berita reguler tentang kasus-kasus individual kebocoran data dengan cepat dipublikasikan di saluran kebocoran informasi .