GitHub: vorig jaar 39 miljoen secrets zoals credentials en tokens gelekt

[Captain Kirk]

Via GitHub zijn vorig jaar 39 miljoen secrets gelekt, zoals credentials, API-keys en tokens, zo heeft het platform voor softwareontwikkelaars bekendgemaakt. Via de gelekte secrets kunnen aanvallers toegang systemen en data krijgen waar ze eigenlijk geen toegang toe zouden moeten hebben. Volgens GitHub zijn gelekte secrets één van de meestvoorkomende, en te voorkomen, oorzaken van beveiligingsincidenten en datalekken.

Een groot deel van deze incidenten ontstaat door softwareontwikkelaars die bewust een secret delen of openbaar maken, aldus GitHub. "Ontwikkelaars onderschatten vaak het risico van private exposures, het committen, delen of opslaan van deze secrets op manieren die op het moment gemakkelijk zijn, met in de loop van de tijd voor risico's zorgen."

Het platform stelt verder dat aanvallers zeer bedreven zijn om de toegang te gebruiken die ze door 'low risk' secrets weten te krijgen, om vervolgens lateraal naar waardevollere assets te bewegen. "Zelfs zonder het risico van de dreiging van insiders maakt de aanwezigheid van secrets in git history (of waar dan ook) ons kwetsbaar voor toekomstige fouten." Om het lekken tegen te gaan gaan kwam GitHub vorig jaar met standaard 'push protection' voor publieke repositories. Nu laat het platform weten dat organisaties gratis een 'point-in-time scan' kunnen uitvoeren om blootgestelde secrets te vinden.

 

bron: https://www.security.nl