<button id="ei02c"><ol id="ei02c"></ol></button>
            1. <div id="ei02c"></div>

                    1. 安基网 首页 资讯 安全报 查看内容

                      超过10万个GitHub repos泄露了API或加密密钥

                      2019-3-24 10:38| 投稿: xiaotiger |来自: 互联网


                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

                      摘要: 研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描,发现超过10万个repos泄露了API令牌和加密密钥。据外媒报道,在6个月的时间里,研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描,发现超过10万个repos泄露了API令牌和加密密钥。 ...

                      更多全球网络安全资讯尽在E安全官网www.easyaq.com

                      小编来报:研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描,发现超过10万个repos泄露了API令牌和加密密钥。

                      据外媒报道,在6个月的时间里,研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描,发现超过10万个repos泄露了API令牌和加密密钥。

                      这是美国北卡罗来纳州立大学(NCSU)的一个团队进行的学术研究,研究结果已与GitHub共享。GitHub根据研究结果加快了新安全功能令牌扫描(Token scan)的开发,该功能目前处于beta测试阶段。

                      学者们扫描了数十亿GitHub文件

                      NCSU对GitHub的扫描研究是迄今为止最全面、最深入的。从2017年10月31日到2018年4月20日,NCSU的学者对GitHub账户进行了近6个月的扫描,搜索API令牌和加密密钥等格式的文本字符串。

                      他们不仅使用GitHub Search API来查找这些文本模式,?#20849;?#30475;了记录在谷歌的BigQuery数据库中的GitHub资源库。

                      三人组成的NCSU团队表示,他们使用GitHub搜索API捕获并分析了681,784个repos的4,394,476个文件,以及谷歌的BigQuery数据库中记录的3,374,973个repos中的2,312,763,353个文件。

                      NCSU团队扫描了11家公司的API令牌

                      在这一大堆文件中,研究人员寻找以特定API令牌或加密密钥格式的文本字符串。

                      由于并非所有API令牌和加密密钥都是相同的格式,NCSU团队决定使用15种API令牌格式(来自11家公司的15个服务,其中5个来自Alexa Top 50)和4种加密密钥格式。

                      其中包括Google、Amazon、Twitter、Facebook、Mailchimp、MailGun、Stripe、Twilio、Square、Braintree和Picatic使用的API关键格式。

                      结果很快?#32479;?#26469;了,在这个研究项目中,每天?#21152;?#25104;千上万的API和密钥泄漏被发现。

                      NCSU团队表示,他们总共发现了575,456个API和加密密钥,其中有201,642个是唯一的,它们分布在超过100,000个GitHub项目中。

                      研究团队在他们的学术论文中发现,使用谷歌搜索API发现的“秘密”和通过谷歌BigQuery数据集发现的“秘密”几乎没有重复。

                      此外,大多数API令牌和加密密钥(93.58%)来自个体帐户,这表明大多数API和加密密钥是正在使用的有效令牌和密钥,因为用户组帐户通常有用于共享测试环境和开发代码的测试令牌。

                      泄漏的API和加密密钥在网上挂了几个星期

                      研究人员观察了账户所有者是否会意识到API和加密密钥的泄露。结果显示,他们跟踪的6%的API和加密密钥在泄露后一小时内被?#22659;?#36825;表明这些GitHub的所有者立即意识到了安全问题。

                      超过12%的密钥和令牌在一天之后就不见了,而19%的密钥和令牌则可?#21592;?#30041;16天之久。

                      研究小组发现了一些重要的泄密数据。研究人员发现了564个谷歌API密钥,这些密钥被一个在线站点用来绕过YouTube的速率限制,并下载YouTube上的视频,这些视频随后被?#27844;?#22312;另一个视频共享门户网站上。

                      研究人员还在OpenVPN配置文件中发现了7280个RSA密钥。通过查看这些配置文件中的其他设置,研究人员表示,绝大多数用户已经禁用了密码验证,并且完全依赖RSA密钥进行验证,发现这些密钥的人可以访问数千个私有网络。

                      北卡罗莱纳州立大学计算机科学系助理教授Brad Reaves表示,由于这类泄漏非常普遍,很难通知所有受影响的开发商。而且,研究人员没有办法大规模获取GitHub开发人员的联系信息。

                      这一事件表明,对新手和专家来说,开放源代码软件库中的证书管理仍然具有挑战性。

                      注:本文由E安全编译报道,转载请注明原文地址

                      https://www.easyaq.com

                      推荐阅读:

                      • 一名立陶宛男子从谷歌和Facebook处诈骗获得1.23亿美元

                      • ?#38053;?#21202;索软件仅需两步

                      • 如何确保现代世界的工业物联网安全

                      • 新加坡又双叒叕有数据泄露事件,政府职员邮箱密码在暗网出售

                      • 从委内瑞拉大停电事件看电力系统安全防护

                      • 注意!NSA逆向工程工具存在远程代码执行漏洞

                      ▼点击“阅读原文” 查看更多精彩内容

                      ?#19981;?#35760;得打赏小E哦!



                      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

                      本文出自:https://www.toutiao.com/a6671769365920088589/

                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


                      鲜花

                      ?#24080;?/a>

                      雷人

                      路过

                      鸡蛋

                      相关阅读

                      最新评论

                       最新
                      返回顶部
                      新疆11选5计算公式 博乐线上真人游戏 3d彩票组三开奖 辽宁11选5胆拖如何玩 天津11选5一定牛官方直营 马三哥单双中特网 pc彩票官网下载安装 德州扑克游戏怎么没有了 2019年七乐彩走势图南方双彩 竞彩胜分差 新疆25选7官方网站 吉林快3开奖走势图 新疆11选5一定牛 平特马 南国体彩七星彩票论坛 体彩20选5图表