危险的开发实践离开公司访问键暴露
开发人员使用的公司访问密钥对其他系统进行身份验证,在软件开发过程中,往往是暴露于公众的遗忘,使公司数据以恶意演员在景点中妥协的风险,以便于进入企业系统。
这是根据数字阴影整理的新数据,该数据在30天期间从Github,Gitlab和Pastebin进行了超过1.5亿实体,并评估和分类接近80,000个接入键和秘密。
它表示,40%的键将授予数据库商店的访问,38%到云环境,包括AWS,Google Cloud和Microsoft Azure,以及11%的在线服务,包括协作平台,如松弛和支付系统。
“由于软件开发越来越多地分布在内部和外包团队之间,它已经挑战了监控敏感信息的曝光,”数字阴影的产品副总裁Russell Bentley说。
“每天,键和秘密等技术信息都在线公开到代码协作平台。通常情况下,这是偶然的,但我们已经看到威胁演员正在策划公共存储库并希望使用它来访问敏感数据和渗透组织。
“我们所识别的大多数服务都是通过设计安全的,但是,人类是链条中的薄弱环节,并且当它应该是私人时经常发出信息。”
Bentley表示,公开的数据库密钥的影响是“特别是深刻”,提供恶意演员未经授权访问公司数据和个人身份信息(PII),以曝光,销毁或操纵它。他说,Redis的凭据,MySQL和MongoDB是最常见的。
如果未经授权的演员是成功验证到目标的云环境中,则影响可能同样严重,再次使其能够曝光,破坏或以其他方式操纵敏感数据。当它来到公共云提供商时,数字影子表示Google云环境最有可能有暴露的钥匙,其次是Microsoft Azure和SAS令牌。
它指出,尽管AWS是市场领导者,但其服务的暴露钥匙占总较低的比例。
就在线服务而言,如松弛,恶意演员可以使用受损键直接将网络钓鱼邮件发布到受害者的渠道中,获得访问对话中传递的敏感信息,并访问Slack工作空间。对支付服务的受损钥匙,例如条带API键,也将具有可预测的可怕后果。
数字影子表示用户可以采取许多行动方案,例如使用Trufflehog等工具,通过Git存储库搜索意外提交的秘密,或者Gitrob,它可以在查找敏感文件中推送到GitHub上的公共存储器。
GitHub秘密扫描还可以为数字阴影观察到的许多更频繁暴露的关键类型提供监视,尽管它并不总是扩展到数据库存储。