危险的开发实践离开公司访问键暴露
爱立信部署了3DEXISIEN,将产品设计提升为ELISA墨水5G核心技术协议
CCS推出750万英镑的泛政府云计算服务框架
政府资金数字制造项目
500万英国家庭支付804米的费用,而不是宽带
在数据泄露的中心再次泄漏AWS S3桶
贷款费用:税务合规慈善机构要求刑事欺诈调查调查计划启动子
HMRC向上签署富士通两年的用户计算支持
Cisos努力跟上斜切竞技场和CK框架
SSE通过下一代连通性加强苏格兰的数字基础设施
2023年,DataceRe可持续发展倾向于成为Colo社区的竞争性差异化因素
绿色货物扩展了里米尼合约,以保持遗产SAP后端运行
O2需要5G到德国最大的城市
BT为英国客户带来RCS业务消息
RémyCointreau在Google Cloud上将SAP迁移到S / 4 HANA
软件AG捕获双敲击勒索软件
银行可以通过技术解决洗钱拼图吗?
Utility供应商人员的能源有全民客户列表被盗
Forrester:CIO必须为BREXIT数据传输做准备
斯托斯波特委员会推出数字培训倡议
沃达丰团队与IOT.NXT将企业IOT带到新级别
爱立信展望云增加了ran灵活性
ViaSAT检查Delta以提高空中连接
诺基亚与A1奥地利合作,使LTE,5G校园网络启用
连接的车辆关联可以致电无线频谱来开发用例
维克利亚的创始人Julian Assange有阿斯伯格综合征和抑郁症,法院听到
商业领袖必须使用现在的经验教训来获得未来准备
MEPS拒绝访问观察者到朱利安宣传引渡听证会
沙特阿拉伯当局与中国IT巨头合作的数字目标
爱立信获取摇篮加速企业5G
政府仍然在轨道上发展英国卫星
法律委员会为在线滥用的受害者提出了更大的保护
LAX And​​roid应用程序开发人员将数百万用户处于危险之中
明年IT战略的三种选择
如果他们帮助赎金软件受害者支付,则安全优势面临制裁
CityFibre奖£1.5亿英镑,以27个城镇和城市资助全纤维建筑
GSMA推出数字访问指南,以帮助残疾人
HMRC Shuns Gov.uk通知并寻求供应商统一通知
英国监管机构缺乏应对越来越多的算法的技能和专业知识
Comms Giants流到亚马逊的边缘,以提高5G企业,工业应用
CMA阐述了规范技术巨头的计划
社交媒体数据泄漏突出了Myky数据刮的世界
全球数据中心集线器分析揭示了65%的全球拼赠收入来自25个城市
沃达丰,爱立信试用连接无人机的自动飞行路径
在2020年的北欧故事中的十大企业
新的承包商指定跨越德文和萨默塞特推出纤维宽带
H&M集团在可持续发展推动下签署瑞典环保运营商的多年派对协议
亚马逊负责违反欧盟反托拉斯规则
网络安全是开源的下一个前沿
Solarwinds网络攻击是全球安全的“严重风险”
您的位置:首页 >电子新品 >

危险的开发实践离开公司访问键暴露

2021-09-16 13:43:51 [来源]:

开发人员使用的公司访问密钥对其他系统进行身份验证,在软件开发过程中,往往是暴露于公众的遗忘,使公司数据以恶意演员在景点中妥协的风险,以便于进入企业系统。

这是根据数字阴影整理的新数据,该数据在30天期间从Github,Gitlab和Pastebin进行了超过1.5亿实体,并评估和分类接近80,000个接入键和秘密。

它表示,40%的键将授予数据库商店的访问,38%到云环境,包括AWS,Google Cloud和Microsoft Azure,以及11%的在线服务,包括协作平台,如松弛和支付系统。

“由于软件开发越来越多地分布在内部和外包团队之间,它已经挑战了监控敏感信息的曝光,”数字阴影的产品副总裁Russell Bentley说。

“每天,键和秘密等技术信息都在线公开到代码协作平台。通常情况下,这是偶然的,但我们已经看到威胁演员正在策划公共存储库并希望使用它来访问敏感数据和渗透组织。

“我们所识别的大多数服务都是通过设计安全的,但是,人类是链条中的薄弱环节,并且当它应该是私人时经常发出信息。”

Bentley表示,公开的数据库密钥的影响是“特别是深刻”,提供恶意演员未经授权访问公司数据和个人身份信息(PII),以曝光,销毁或操纵它。他说,Redis的凭据,MySQL和MongoDB是最常见的。

如果未经授权的演员是成功验证到目标的云环境中,则影响可能同样严重,再次使其能够曝光,破坏或以其他方式操纵敏感数据。当它来到公共云提供商时,数字影子表示Google云环境最有可能有暴露的钥匙,其次是Microsoft Azure和SAS令牌。

它指出,尽管AWS是市场领导者,但其服务的暴露钥匙占总较低的比例。

就在线服务而言,如松弛,恶意演员可以使用受损键直接将网络钓鱼邮件发布到受害者的渠道中,获得访问对话中传递的敏感信息,并访问Slack工作空间。对支付服务的受损钥匙,例如条带API键,也将具有可预测的可怕后果。

数字影子表示用户可以采取许多行动方案,例如使用Trufflehog等工具,通过Git存储库搜索意外提交的秘密,或者Gitrob,它可以在查找敏感文件中推送到GitHub上的公共存储器。

GitHub秘密扫描还可以为数字阴影观察到的许多更频繁暴露的关键类型提供监视,尽管它并不总是扩展到数据库存储。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。