अंदर का खतरा: डेवलपर्स ने 10 में 2022M क्रेडेंशियल्स, पासवर्ड लीक किए

अंदर का खतरा: डेवलपर्स ने 10 में 2022M क्रेडेंशियल्स, पासवर्ड लीक किए

समय टिकट: 9 मार्च, 2023 2:41 PM

जिस दर पर डेवलपर्स ने पासवर्ड और एपीआई कुंजी जैसे महत्वपूर्ण सॉफ़्टवेयर रहस्यों को लीक किया, वह आधे से बढ़कर GitHub रिपॉजिटरी में प्रत्येक 5.5 प्रतिबद्धताओं में से 1,000 तक पहुंच गया।

यह इस सप्ताह रहस्य-प्रबंधन फर्म GitGuardian द्वारा प्रकाशित एक रिपोर्ट के अनुसार है। हालांकि प्रतिशत छोटा लगता है, कुल मिलाकर, कंपनी ने सार्वजनिक भंडार में रहस्यों के लीक होने के कम से कम 10 मिलियन उदाहरणों का पता लगाया, कुल मिलाकर 3 मिलियन से अधिक अद्वितीय रहस्यों के लिए लेखांकन, कंपनी ने अपनी "2022 स्टेट ऑफ सीक्रेट्स स्प्रेल" रिपोर्ट में कहा। 

जबकि जेनेरिक पासवर्ड में अधिकांश रहस्य (56%) होते हैं, एक तिहाई से अधिक (38%) में एक उच्च-एन्ट्रॉपी रहस्य शामिल होता है जिसमें एपीआई कुंजी, यादृच्छिक संख्या जनरेटर बीज और अन्य संवेदनशील स्ट्रिंग शामिल होते हैं।

जैसे-जैसे अधिक कंपनियां अपने एप्लिकेशन इंफ्रास्ट्रक्चर और संचालन को क्लाउड पर ले जा रही हैं, एपीआई कुंजी, क्रेडेंशियल और अन्य सॉफ़्टवेयर रहस्य उनके व्यवसाय की सुरक्षा के लिए महत्वपूर्ण हो गए हैं। जब वे रहस्य लीक हो जाते हैं, तो परिणाम विनाशकारी, या कम से कम, महंगे हो सकते हैं।

गिटगार्डियन के सुरक्षा और डेवलपर वकील मैकेंज़ी जैक्सन कहते हैं, "रहस्य किसी भी व्यवसाय या संगठन के मुकुट रत्न हैं - वे वास्तव में आपके सभी सिस्टम और बुनियादी ढांचे तक पहुंच प्रदान कर सकते हैं।" "जोखिम कुछ भी हो सकता है, संपूर्ण सिस्टम अधिग्रहण से लेकर छोटे डेटा एक्सपोज़र या कई अन्य चीज़ों तक।"

सर्वाधिक संवेदनशील फ़ाइल प्रकारों का चार्ट. पर्यावरण फ़ाइलों (env) में आमतौर पर सबसे संवेदनशील डेटा होता है। स्रोत: गिटगार्डियन

पर्यावरण फ़ाइलों (env) में आमतौर पर सबसे संवेदनशील डेटा होता है। स्रोत: गिटगार्डियन

"ऐसी लाखों चाबियाँ हर साल जमा होती हैं, न केवल सार्वजनिक स्थानों में, जैसे कि कोड-शेयरिंग प्लेटफ़ॉर्म, बल्कि विशेष रूप से निजी रिपॉजिटरी या कॉर्पोरेट आईटी परिसंपत्तियों जैसे बंद स्थानों में," GitGuardian इसकी "2023 स्टेट ऑफ सीक्रेट्स स्प्रॉल" रिपोर्ट में कहा गया है.

और यहां तक ​​कि वे निजी स्थान भी असुरक्षित हो सकते हैं। उदाहरण के लिए, जनवरी में, सहयोग और मैसेजिंग प्लेटफ़ॉर्म स्लैक ने उपयोगकर्ताओं को चेतावनी दी थी कि "सीमित संख्या में स्लैक कर्मचारी टोकन" दिए गए हैं। एक ख़तरनाक अभिनेता द्वारा चुराया गया, जिसने फिर निजी कोड रिपॉजिटरी डाउनलोड की। पिछले मई में, सेल्सफोर्स की सहायक कंपनी, क्लाउड एप्लिकेशन प्लेटफ़ॉर्म प्रदाता हेरोकू ने स्वीकार किया कि एक हमलावर ने हैशेड और सॉल्टेड पासवर्ड का डेटाबेस चुरा लिया था GitHub के साथ एकीकृत करने के लिए उपयोग किए जाने वाले OAuth टोकन तक पहुंच प्राप्त करना.

बुनियादी ढाँचा - जैसे... उफ़!

रहस्यों के लीक होने में बढ़ोतरी का एक कारण यह भी है इन्फ्रास्ट्रक्चर-एज़-कोड (IaC) बहुत अधिक लोकप्रिय हो गया है. IaC मैन्युअल प्रक्रियाओं के बजाय कोड के माध्यम से बुनियादी ढांचे का प्रबंधन और प्रावधान कर रहा है, और 2022 में, GitHub रिपॉजिटरी में भेजे गए IaC से संबंधित फ़ाइलों और कलाकृतियों की संख्या में 28% की वृद्धि हुई है। GitGuardian के अनुसार, विशाल बहुमत (83%) फ़ाइलों में डॉकर, कुबेरनेट्स, या टेराफ़ॉर्म के लिए कॉन्फ़िगरेशन फ़ाइलें शामिल हैं।

IaC डेवलपर्स को सर्वर, डेटाबेस और सॉफ़्टवेयर-परिभाषित नेटवर्किंग सहित उनके एप्लिकेशन द्वारा उपयोग किए जाने वाले बुनियादी ढांचे के कॉन्फ़िगरेशन को निर्दिष्ट करने की अनुमति देता है। जैक्सन कहते हैं, उन सभी घटकों को नियंत्रित करने के लिए, रहस्य अक्सर आवश्यक होते हैं।

वह कहते हैं, ''हमले की सतह का विस्तार होता रहता है।'' "इन्फ्रास्ट्रक्चर-एज़-कोड एक नई चीज़ बन गई है और यह लोकप्रियता के साथ विस्फोटित हो गई है, और इंफ्रास्ट्रक्चर को रहस्यों की आवश्यकता होती है, इसलिए इंफ्रास्ट्रक्चर-एज़-कोड [फ़ाइलें] में अक्सर रहस्य होते हैं।"

इसके अलावा, संवेदनशील एप्लिकेशन जानकारी के लिए आमतौर पर कैश के रूप में उपयोग किए जाने वाले तीन फ़ाइल प्रकार - .env, .key, और .pem - को सबसे संवेदनशील माना जाता है, जिसे प्रति फ़ाइल सबसे अधिक रहस्यों के रूप में परिभाषित किया गया है। जैक्सन का कहना है कि डेवलपर्स को उन फ़ाइलों को सार्वजनिक भंडार में प्रकाशित करने से लगभग हमेशा बचना चाहिए।

"यदि इनमें से एक फ़ाइल आपके Git रिपॉजिटरी में है, तो आप जानते हैं कि आपकी सुरक्षा में छेद हैं," वे कहते हैं। “भले ही फ़ाइल में रहस्य न हों, उन्हें कभी भी वहां नहीं होना चाहिए। आपको यह सुनिश्चित करने के लिए रोकथाम की व्यवस्था करनी चाहिए कि वे वहां नहीं हैं और यह जानने के लिए सतर्क रहना चाहिए कि वे कब वहां हैं।

जैक्सन कहते हैं, इस कारण से, कंपनियों को रहस्यों के लिए सिस्टम और फ़ाइलों को लगातार स्कैन करना चाहिए, दृश्यता प्राप्त करनी चाहिए और संभावित खतरनाक फ़ाइलों को ब्लॉक करने की क्षमता प्राप्त करनी चाहिए।

वह कहते हैं, "यह सुनिश्चित करने के लिए कि आपके पास दृश्यता है, आप अपने सभी बुनियादी ढांचे को स्कैन करना चाहते हैं।" "और फिर अगले चरणों में इंजीनियरों और डेवलपर्स की जांच करने के लिए उपकरण लागू करना शामिल है... किसी भी रहस्य के उजागर होने पर उसका पता लगाने के लिए।"

समय टिकट:

से अधिक डार्क रीडिंग