憑證泄漏首次成為數(shù)據(jù)泄漏主因
2023年憑證泄露首次成為網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄漏的主要原因。2023年的Sophos報告指出,憑證泄露是上半年所有攻擊事件的根源之一,占比高達50%。漏洞利用緊隨其后,占23%。
作為全球最受歡迎的代碼托管和協(xié)作平臺,GitHub上的密鑰泄露事件自2020年以來呈快速惡化的增長趨勢:
2020-2023年GitHub憑證信息泄漏快速2020-2023年GitHub憑證信息泄漏快速
2023年,GitGuardian掃描了11億次提交(+10.6%),其中800萬次提交至少暴露了一個秘密(+30.3%)。
GitGuardian向泄露密鑰的用戶發(fā)送了180萬封免費電子郵件提醒,但僅僅只有1.8%的用戶采取了措施糾正錯誤。泄露的敏感信息包括賬戶密碼、API密鑰、TLS/SSL證書、加密密鑰、云服務(wù)憑證、OAuth令牌等,這些信息一旦落入外部人員手中,可能會導(dǎo)致數(shù)據(jù)泄露和財務(wù)損失。
憑證泄露的重災(zāi)區(qū)
2023年GitHub密鑰泄露最為嚴重的國家是印度、美國、巴西、中國、法國、加拿大、越南、印度尼西亞、韓國和德國。
泄露最為嚴重的行業(yè)是IT行業(yè),占比高達65.9%。其次是教育行業(yè),占比20.1%。其他行業(yè)(科學(xué)、零售、制造、金融、公共管理、醫(yī)療、娛樂、交通)泄露占比為14%。
GitGuardian用通用檢測器對2023年的泄露憑證進行了分析,具體類型分布如下:
前10名通用泄露憑證類型前10名通用泄露憑證類型
特定檢測器可以將泄露的憑證細分更具體的類別,結(jié)果顯示泄露最為嚴重的憑證類型包括谷歌API和谷歌云密鑰、MongoDB憑證、OpenWeatherMap和Telegram機器人令牌、MySQL和PostgreSQL憑證,以及GitHub OAuth密鑰。
僅在2023年,就檢測到了超過100萬個有效的Google API憑證、25萬個Google Cloud憑證和14萬個AWS憑證。
TOP10特定密鑰類型
值得注意的是,只有2.6%的泄露憑證會在泄露后的第一小時內(nèi)被撤銷,高達91.6%的憑證在5天后(GitGuardian停止監(jiān)控其狀態(tài)時)仍保持有效。
Riot Games、GitHub、OpenAI和AWS等公司似乎擁有較為完善的應(yīng)對機制,可以幫助檢測到泄露憑證的代碼提交并及時補救。
AI泄密暴增
生成式AI工具在2023年呈爆發(fā)式增長,在GitHub上泄露的AI項目相關(guān)密鑰數(shù)量也同步增長。
與2022年相比,2023年在GitHub上泄露的OpenAI API密鑰數(shù)量激增了1212倍,平均每月泄露46,441個API密鑰,成為報告中增長最快的泄露數(shù)據(jù)點。OpenAI旗下的產(chǎn)品ChatGPT和DALL-E廣受歡迎,不僅局限于科技圈。許多企業(yè)和員工會在ChatGPT提示中輸入敏感信息,一旦密鑰泄露,后果將不堪設(shè)想。
開源AI模型倉庫Hugging Face的泄露密鑰數(shù)量也急劇增加,這與其在AI研究人員和開發(fā)者中的日益流行直接相關(guān)。
OpenAIAPI密鑰與Hugging Face用戶訪問令牌的月度泄漏數(shù)量
其他AI服務(wù)(例如Cohere、Claude、Clarifai、Google Bard、Pinecone和Replicate)也出現(xiàn)了密鑰泄露事件,但數(shù)量遠低于OpenAI和Hugging Face。不同人工智能項目的每月泄漏憑證數(shù)量(與其流行度和采用率相關(guān))不同人工智能項目的每月泄漏憑證數(shù)量(與其流行度和采用率相關(guān))
GitGuardian認為,不僅使用AI服務(wù)的用戶需要更好地保護密鑰安全,AI技術(shù)本身也需要加強檢測和保護密鑰。
報告指出,大語言模型(LLM)可以幫助快速分類泄露密鑰并降低誤報率。然而,要大規(guī)模應(yīng)用此類技術(shù),還需要解決運營成本、時間投入以及識別效率等方面的限制因素。
值得一提的是,GitHub在上個月啟用了默認的推送保護功能,用于防止用戶在將新代碼推送到平臺時意外泄露密鑰。
GitGuardian認為,不僅使用AI服務(wù)的用戶需要更好地保護密鑰安全,AI技術(shù)本身也需要加強檢測和保護密鑰。
報告指出,大語言模型(LLM)可以幫助快速分類泄露密鑰并降低誤報率。然而,要大規(guī)模應(yīng)用此類技術(shù),還需要解決運營成本、時間投入以及識別效率等方面的限制因素。
值得一提的是,GitHub在上個月啟用了默認的推送保護功能,用于防止用戶在將新代碼推送到平臺時意外泄露密鑰。
