来自北卡罗来纳大学(北卡罗来纳州立大学,NCSU)的一组研究人员对托管IT项目及其联合开发GitHub 的服务进行了研究 。 专家发现,超过10万个GitHub存储库包含API密钥,令牌和加密密钥。
关键信息(加密密钥,令牌和来自各种在线服务的API密钥等)的意外泄漏问题一直是最热门的话题之一。
由于此类泄漏,已经发生了几起涉及个人数据的重大事件(Uber,DJI,DXC Technologies等)。
在2017年10月31日至2018年4月20日之间,来自NCSU的研究人员通过GitHub本身的搜索API检索了681,784个存储库中的4,394,476个文件,并预编译了Google BigQuery数据库中的3,374,973个存储库中的2,312,763,353个文件。
在扫描过程中,专家搜索的字符串应属于API密钥(Stripe,MailChimp,YouTube等),令牌(Amazon MWS,PayPal Braintree,Amazon AWS等)或加密密钥(RSA, PGP等)。
专家总共发现了大约575,476个令牌,API和加密密钥,其中201,642个是唯一的。 93.58%的发现与一个所有者的帐户相关联。
手动检查部分选定结果时,在西欧一个国家/地区的主要政府部门站点以及拥有数百万申请美国大学入学申请的服务器中找到了AWS凭证。
研究期间发现了一个有趣的趋势:如果数据所有者检测到泄漏,则专家监控的数据中有19%在16天之内被删除(“删除”,见下文)(第一天为12%),而81%在观察期间没有被移除。
最有趣的是,研究人员观察到的所有“已删除”数据实际上并未实际删除,其所有者只是进行了一次新提交。
去年年底,我们在Habr上写了一条小纸条 ,其中描述了如何使用DeviceLock DLP解决方案通过控制下载到GitHub的数据来防止意外泄漏。
有关个别数据泄漏案例的常规新闻很快就会在信息泄漏的渠道上发布。