超过10万个GitHub repos泄露了API或加密密钥

作者:???深圳市网安计算机安全检测技术有限公司 2019/03/25 09:54:15 355次阅读 国际
文章来源:https://www.easyaq.com/news/2147306903.shtml

据外媒报道,在6个月的时间里,研究人员对GitHub所有公共资源库中13%的文件进行了扫描,发现超过10万个repos泄露了API令牌和加密密钥。

这是美国北卡罗来纳州立大学(NCSU)的一个团队进行的学术研究,研究结果已与GitHub共享。GitHub根据研究结果加快了新安全功能令牌扫描(Token scan)的开发,该功能目前处于beta测试阶段。

2411464058jv.jpg

学者们扫描了数十亿GitHub文件

NCSU对GitHub的扫描研究是迄今为止最全面、最深入的。从2017年10月31日到2018年4月20日,NCSU的学者对GitHub账户进行了近6个月的扫描,搜索API令牌和加密密钥等格式的文本字符串。

他们不仅使用GitHub Search API来查找这些文本模式,还查看了记录在谷歌的BigQuery数据库中的GitHub资源库。

三人组成的NCSU团队表示,他们使用GitHub搜索API捕获并分析了681,784个repos的4,394,476个文件,以及谷歌的BigQuery数据库中记录的3,374,973个repos中的2,312,763,353个文件。

NCSU团队扫描了11家公司的API令牌

在这一大堆文件中,研究人员寻找以特定API令牌或加密密钥格式的文本字符串。

由于并非所有API令牌和加密密钥都是相同的格式,NCSU团队决定使用15种API令牌格式(来自11家公司的15个服务,其中5个来自Alexa Top 50)和4种加密密钥格式。?

其中包括Google、Amazon、Twitter、Facebook、Mailchimp、MailGun、Stripe、Twilio、Square、Braintree和Picatic使用的API关键格式。

241146401zlc.jpg

结果很快就出来了,在这个研究项目中,每天都有成千上万的API和密钥泄漏被发现。?

NCSU团队表示,他们总共发现了575,456个API和加密密钥,其中有201,642个是唯一的,它们分布在超过100,000个GitHub项目中。?

24114641tklv.jpg

研究团队在他们的学术论文中发现,使用谷歌搜索API发现的“秘密”和通过谷歌BigQuery数据集发现的“秘密”几乎没有重复。

此外,大多数API令牌和加密密钥(93.58%)来自个体帐户,这表明大多数API和加密密钥是正在使用的有效令牌和密钥,因为用户组帐户通常有用于共享测试环境和开发代码的测试令牌。

泄漏的API和加密密钥在网上挂了几个星期

研究人员观察了账户所有者是否会意识到API和加密密钥的泄露。结果显示,他们跟踪的6%的API和加密密钥在泄露后一小时内被删除,这表明这些GitHub的所有者立即意识到了安全问题。

超过12%的密钥和令牌在一天之后就不见了,而19%的密钥和令牌则可以保留16天之久。

24114641vwdl.jpg

研究小组发现了一些重要的泄密数据。研究人员发现了564个谷歌API密钥,这些密钥被一个在线站点用来绕过YouTube的速率限制,并下载YouTube上的视频,这些视频随后被托管在另一个视频共享门户网站上。

研究人员还在OpenVPN配置文件中发现了7280个RSA密钥。通过查看这些配置文件中的其他设置,研究人员表示,绝大多数用户已经禁用了密码验证,并且完全依赖RSA密钥进行验证,发现这些密钥的人可以访问数千个私有网络。

北卡罗莱纳州立大学计算机科学系助理教授Brad Reaves表示,由于这类泄漏非常普遍,很难通知所有受影响的开发商。而且,研究人员没有办法大规模获取GitHub开发人员的联系信息。

这一事件表明,对新手和专家来说,开放源代码软件库中的证书管理仍然具有挑战性。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室