زعم بحث جديد أنه تم تسريب الملايين من الأسرار ومفاتيح المصادقة على GitHub في عام 2023، مع عدم اهتمام غالبية المطورين بإبطالها حتى بعد إخطارهم بالحادث المؤسف.
يزعم تقرير من GitGuardian، وهو مشروع يساعد المطورين على تأمين تطوير برامجهم من خلال الكشف الآلي عن الأسرار ومعالجتها، أنه في عام 2023، كشف مستخدمو GitHub عن طريق الخطأ عن 12.8 مليون سر في أكثر من 3 ملايين مستودع عام.
وتشمل هذه الأسرار الحساب كلمات المرورومفاتيح API وشهادات TLS/SSL ومفاتيح التشفير وبيانات اعتماد الخدمة السحابية ورموز OAuth المميزة وما شابه ذلك.
رد بطيء
أثناء مرحلة التطوير، يقوم العديد من محترفي تكنولوجيا المعلومات بترميز أسرار المصادقة المختلفة لتسهيل حياتهم. ومع ذلك، غالبًا ما ينسون إزالة الأسرار قبل نشر الكود على GitHub. وبالتالي، إذا اكتشف أي فاعل خبيث هذه الأسرار، فسيحصل على سهولة الوصول إلى الموارد والخدمات الخاصة، مما قد يؤدي إلى اختراق البيانات وحوادث مماثلة.
وكانت الهند الدولة التي نشأت منها معظم التسريبات، تليها الولايات المتحدة والبرازيل والصين وفرنسا وكندا. وجاءت الغالبية العظمى من التسريبات من صناعة تكنولوجيا المعلومات (65.9%)، يليها التعليم (20.1%). وتم تقسيم الـ 14% المتبقية بين العلوم، وتجارة التجزئة، والتصنيع، والتمويل، والإدارة العامة، والرعاية الصحية، والترفيه، والنقل.
يمكن أن يحدث أي خطأ أو أسرار برمجية لأي شخص – ولكن ما يحدث بعد ذلك ربما يكون أكثر إثارة للقلق. يتم إلغاء 2.6% فقط من الأسرار في غضون ساعة – ويظل كل شيء آخر تقريبًا (91.6%) صالحًا حتى بعد خمسة أيام، عندما يتوقف GitGuardian عن تتبع حالتهم. ومما زاد الطين بلة، أن المشروع أرسل 1.8 مليون رسالة بريد إلكتروني إلى مطورين وشركات مختلفة، يحذرهم فيها من النتائج التي توصل إليها، واستجاب 1.8% فقط بإزالة الأسرار من الكود.
ألعاب مكافحة الشغب جيثب, OpenAI، وتم إدراج AWS ضمن الشركات التي تتمتع بأفضل آليات الاستجابة.
عبر BleepingComputer
المزيد من TechRadar Pro
- أصبحت ميزة الفحص السري لـ GitHub الآن أكثر قوة، حيث تغطي AWS، وGoogle، وMicrosoft، والمزيد
- وهنا قائمة من أفضل جدران الحماية حول اليوم
- هذه هي أفضل أمان لنقطة النهاية الأدوات الآن