超过10万个GitHub repos泄露了API或加密密钥

据外媒报道，在6个月的时间里，研究人员对GitHub所有公共资源库中13%的文件进行了扫描，发现超过10万个repos泄露了API令牌和加密密钥。

这是美国北卡罗来纳州立大学（NCSU）的一个团队进行的学术研究，研究结果已与GitHub共享。GitHub根据研究结果加快了新安全功能令牌扫描（Token scan）的开发，该功能目前处于beta测试阶段。

NCSU对GitHub的扫描研究是迄今为止最全面、最深入的。从2017年10月31日到2018年4月20日，NCSU的学者对GitHub账户进行了近6个月的扫描，搜索API令牌和加密密钥等格式的文本字符串。

他们不仅使用GitHub Search API来查找这些文本模式，还查看了记录在谷歌的BigQuery数据库中的GitHub资源库。

三人组成的NCSU团队表示，他们使用GitHub搜索API捕获并分析了681,784个repos的4,394,476个文件，以及谷歌的BigQuery数据库中记录的3,374,973个repos中的2,312,763,353个文件。

在这一大堆文件中，研究人员寻找以特定API令牌或加密密钥格式的文本字符串。

由于并非所有API令牌和加密密钥都是相同的格式，NCSU团队决定使用15种API令牌格式(来自11家公司的15个服务，其中5个来自Alexa Top 50)和4种加密密钥格式。

其中包括Google、Amazon、Twitter、Facebook、Mailchimp、MailGun、Stripe、Twilio、Square、Braintree和Picatic使用的API关键格式。

结果很快就出来了，在这个研究项目中，每天都有成千上万的API和密钥泄漏被发现。

NCSU团队表示，他们总共发现了575,456个API和加密密钥，其中有201,642个是唯一的，它们分布在超过100,000个GitHub项目中。

研究团队在他们的学术论文中发现，使用谷歌搜索API发现的“秘密”和通过谷歌BigQuery数据集发现的“秘密”几乎没有重复。

此外，大多数API令牌和加密密钥（93.58%）来自个体帐户，这表明大多数API和加密密钥是正在使用的有效令牌和密钥，因为用户组帐户通常有用于共享测试环境和开发代码的测试令牌。

研究人员观察了账户所有者是否会意识到API和加密密钥的泄露。结果显示，他们跟踪的6%的API和加密密钥在泄露后一小时内被删除，这表明这些GitHub的所有者立即意识到了安全问题。

超过12%的密钥和令牌在一天之后就不见了，而19%的密钥和令牌则可以保留16天之久。

研究小组发现了一些重要的泄密数据。研究人员发现了564个谷歌API密钥，这些密钥被一个在线站点用来绕过YouTube的速率限制，并下载YouTube上的视频，这些视频随后被托管在另一个视频共享门户网站上。

研究人员还在OpenVPN配置文件中发现了7280个RSA密钥。通过查看这些配置文件中的其他设置，研究人员表示，绝大多数用户已经禁用了密码验证，并且完全依赖RSA密钥进行验证，发现这些密钥的人可以访问数千个私有网络。

北卡罗莱纳州立大学计算机科学系助理教授Brad Reaves表示，由于这类泄漏非常普遍，很难通知所有受影响的开发商。而且，研究人员没有办法大规模获取GitHub开发人员的联系信息。

这一事件表明，对新手和专家来说，开放源代码软件库中的证书管理仍然具有挑战性。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

▼点击“阅读原文” 查看更多精彩内容