Более 12 миллионов секретов стали общедоступны на GitHub и Python PyPI

Более 12 миллионов секретов стали общедоступны на GitHub и Python PyPI

Эксперты GitGuardian в своём отчете за 2023 год обнародовали информацию более чем о 10 миллионах раскрытых секретов и ключей аутентификации в публичных коммитах GitHub.

К ним относятся пароли, ключи API и другие учетные данные. Поразительно, но к 2024 году стало известно о новых прецедентах – более 12,8 млн раскрытых секретов в GitHub, а так же о некотором числе утечек в популярном репозитории Python PyPI, которые содержат более 20 терабайт файлов в свободном доступе.

По словам GitGuardian, за 2023 год ключи API OpenAI, ключи API Google и ключи Google Cloud стали самыми распространенными обнародованными секретами. К сожалению, это влечет за собой возможность несанкционированного доступа угрозу утечки данных. Ведь любому грамотному специалисту будет по силам найти один общий формат секрета, написав регулярное выражение и использовав автоматизацию проверок на валидность. Тем самым он добывает конфиденциальную информацию.

К сожалению, доверие к публичным репозиториям падает. Ключи, опубликованные в GitHub или PyPI, считаются изначально скомпрометированными. Исследователи провели ряд тестов, где honeytoken (своего рода "разряженный" API-ключ, не имеющий доступа ни к каким ресурсам) проверялся на валидность ботами в течение минуты после публикации на GitHub.

Honeytokens остаются недооцененными, ведь они выступают в роли "доносчика" для все большего числа разработчиков. Они помогают увидеть, что кто-то шпионил там, где вы их разместили, и получить некоторую информацию на основе данных телеметрии, собранных при использовании honeytoken.

Больше всего беспокойства вызывает не только факт, что при публикации секрета злоумышленник может добраться до cloud bill, но и возможность утечки более серьёзной информации при избыточных полномочиях секрета.

Если вдруг вы обнаружили утечку секрета в публичной коллекции исходного кода, то для начала — отзовите его. Помните, что как только ваш секрет опубликован, то он с большой вероятностью уже скопирован. Несмотря на то, что исходный код находится в закрытом хранилище, злоумышленники способны получить доступ к ним при помощи социальной инженерии, фишинга и утечки секретов.

Нужно понимать, что секреты в исходном коде рано или поздно обнаруживаются как в частном хранилище, так и в публичном реестре. Чтобы хоть каким-то способом обезопасить себя, придерживайтесь следующих правил:

  • не храните секреты открытым текстом в исходном коде;
  • ограничивайте привилегии, которые эти секреты предоставляют;
  • если вы обнаружили утечку секрета, отмените его;
  • внедрите автоматизацию, подобную той, что предлагает GitGuardian.

Следуя данным правилам, вам, возможно, не придется сталкиваться с утечкой секретов.

Напомним, в конце прошлого месяца популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

А в январе GitHub провел ротацию ключей после возможной компрометации учетных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Холдинг Т1 выпустил опытный образец АСУ ТП СИЛАРОН для промышленности

Холдинг Т1 представил опытный образец импортонезависимого программно-аппаратного комплекса (ПАК) «СИЛАРОН» для управления технологическим процессом (АСУ ТП).

Об этом компания рассказала на конференции ЦИПР 2024. Разработка, которая сейчас проходит тестовые испытания, будет полезна предприятиям с непрерывным производством в таких отраслях, как нефтехимия, нефтепереработка, тепловая электроэнергетика, химическая промышленность, металлургия, а также горно-обогатительным комбинатам.

ПАК «СИЛАРОН», разработкой которого занимается Т1 Интеграция (Холдинг Т1), представляет собой многофункциональную платформу для крупных промышленных предприятий. Это классическое решение распределенной системы управления с функциональностью противоаварийной защиты, актуальной для различных технологических процессов. Распределенная система управления, являющаяся «ядром» АСУ ТП, обладает высокой отказоустойчивостью за счет использования компонентной базы повышенной надежности, внедрения развитых средств диагностики и резервирования. Кроме того, «СИЛАРОН» поддерживает многопользовательскую работу, одновременное выполнение нескольких задач и изменение логики управления в режиме реального времени. Все эти возможности позволяют бизнесу обеспечивать контроль и защиту непрерывных производственных циклов.

Новый ПАК от Холдинга Т1 отвечает современным международным стандартам и отечественным требованиям информационной безопасности. В частности, «СИЛАРОН» соответствует всем критериям доверенного программно-аппаратного комплекса, указанным в постановлении Правительства РФ № 1912 от 14 ноября 2023 года, которое определяет порядок перехода субъектов КИИ на российское ПО и оборудование.

«Снижение доступности зарубежных продуктов стало драйвером развития отечественных разработок и поиска неординарных решений для становления технологической независимости. Сегодня импортозамещение в промышленности актуально как никогда, особенно на объектах критической инфраструктуры, но при этом есть дефицит отечественных разработок в сегменте АСУ ТП, способных закрыть потребности крупных предприятий. Поэтому Холдинг Т1 представляет собственное решение – импортонезависимый продукт «СИЛАРОН», позволяющий повысить безопасность и эффективность производства», – отметил Алексей Фетисов, генеральный директор Холдинга Т1.

«Недоступность иностранного оборудования и ПО особенно критична в сегменте систем управления технологическим процессом: компании не имеют доступа к обновлениям и техподдержке зарубежных решений. Полностью отечественная разработка позволит убрать зависимость от западных АСУ ТП. Созданием ПАК занимается команда Т1 Интеграции, обладающая обширным опытом в направлении промышленной автоматизации как российского, так и международного уровня. Мы тщательно тестируем опытный образец «СИЛАРОНА», чтобы российские предприятия получили продукт, отвечающий реальным потребностям их бизнеса», – прокомментировал Михаил Книгин, исполнительный директор Т1 Интеграция.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru