Se filtraron millones de secretos y claves de autenticación en GitHub en 2023, y a la mayoría de los desarrolladores no les importó revocarlos incluso después de haber sido notificados del percance, según afirma una nueva investigación.
Un informe de GitGuardian, un proyecto que ayuda a los desarrolladores a proteger su desarrollo de software con detección y remediación automática de secretos, afirma que en 2023, los usuarios de GitHub expusieron accidentalmente 12,8 millones de secretos en más de 3 millones de repositorios públicos.
Estos secretos incluyen la cuenta. contraseñasclaves API, certificados TLS/SSL, claves de cifrado, credenciales de servicios en la nube, tokens OAuth y similares.
Respuesta lenta
Durante la etapa de desarrollo, muchos profesionales de TI codificarían diferentes secretos de autenticación para hacerles la vida más fácil. Sin embargo, a menudo se olvidan de eliminar los secretos antes de publicar el código en GitHub. Por lo tanto, si algún actor malintencionado descubre estos secretos, obtendrá fácil acceso a recursos y servicios privados, lo que puede provocar filtraciones de datos e incidentes similares.
India fue el país donde se originaron la mayoría de las filtraciones, seguida de Estados Unidos, Brasil, China, Francia y Canadá. La gran mayoría de las filtraciones provinieron de la industria de TI (65,9%), seguida de la educación (20,1%). El 14% restante se dividió entre ciencia, comercio minorista, manufactura, finanzas, administración pública, atención médica, entretenimiento y transporte.
Cualquiera puede cometer un error y codificar secretos, pero lo que sucede después es quizás aún más preocupante. Sólo el 2,6% de los secretos se revocan en una hora; prácticamente todo lo demás (91,6%) sigue siendo válido incluso después de cinco días, cuando GitGuardian deja de rastrear su estado. Para empeorar las cosas, el proyecto envió 1,8 millones de correos electrónicos a diferentes desarrolladores y empresas, advirtiéndoles de sus hallazgos, y sólo el 1,8% respondió eliminando los secretos del código.
Juegos antidisturbios, GitHub, Abierto AIy AWS figuraron como empresas con mejores mecanismos de respuesta.
A través de pitidocomputadora