Github kullanıcıları, 2023 yılında 3 milyondan fazla kamu deposunda yanlışlıkla 12.8 milyon kimlik doğrulama ve hassas sırlar ortaya koydu ve büyük çoğunluğu beş gün sonra geçerli kaldı.
Bu, GitGuardian'daki siber güvenlik uzmanlarına göre, sırları maruz kalanlara 1,8 milyon ücretsiz e -posta uyarısı göndererek, hatayı düzeltmek için temas edilenlerin sadece% 1.8'ini hızlı bir şekilde görüyor.
Maruz kalan sırlar arasında hesap şifreleri, API anahtarları, TLS/SSL sertifikaları, şifreleme anahtarları, bulut hizmeti kimlik bilgileri, OAuth jetonları ve dış aktörlere çeşitli özel kaynaklara ve hizmetlere sınırsız erişim sağlayabilecek diğer hassas verileri içerir. .
2023 Sophos raporu, tehlikeye atılan kimlik bilgilerinin yılın ilk yarısında kaydedilen tüm saldırıların temel nedeninin% 50'sini oluşturduğunu ve ardından vakaların% 23'ünde saldırı yöntemi olan güvenlik açığı sömürüsünü oluşturduğunu vurguladı.
Gitguardian, dünyanın en popüler kod barındırma ve işbirliği platformu olan GitHub'daki gizli maruziyetin 2020'den beri olumsuz bir trend izlediğini söyledi.
2023 için "en sızan" ülkeler Hindistan, ABD, Brezilya, Çin, Fransa, Kanada, Vietnam, Endonezya, Güney Kore ve Almanya idi.
Hangi sektörlerin en çok sırları sızdırdığı açısından, listenin%65,9'luk aslan payıyla, ardından%20.1 ve diğerleri birleştirilmiş (Bilim, Perakende, Üretim, Finans, Kamu Yönetimi, Sağlık, Eğlence, Eğlence, , ulaşım)%14'ü hesaba katar.
Gitguardian'ın 2023'te tespit ettiği tüm sırların yaklaşık% 45'ini yakalayan jenerik dedektörler aşağıdaki gibi analiz edilmektedir.
Sırları daha somut kategorilere tanımlayabilen ve yumuşak sızdıran belirli dedektörler, Google API ve Google Cloud anahtarlarının, MongoDB kimlik bilgilerinin, OpenWeathermap ve Telegram Bot Tokenlerinin, MySQL ve Postgresql kimlik bilgilerinin ve Github Oauth Keys'in büyük bir pozlamasını gösterir.
Maruz kalan sırların% 2,6'sı ilk saat içinde iptal edilir, ancak% 91,6'sı beş gün sonra bile geçerli kalır, bu da Gitguardian'ın durumlarını izlemeyi durdurur.
Riot Games, Github, Openai ve AWS, kötü taahhütleri tespit etmeye ve durumu düzeltmeye yardımcı olacak en iyi yanıt mekanizmalarına sahip gibi görünüyor.
Üretken AI araçları, geçen yıl GitHub'a maruz kalan ilgili sırların sayısına da yansıyan 2023'te patlayıcı büyümesine devam etti.
Gitguardian, GitHub'da sızan Openai API anahtarlarının sayısında 2022'ye kıyasla büyük bir 1.212X artış gördü ve ayda ortalama 46.441 API anahtarını sızdırarak rapordaki en yüksek büyüyen veri noktasına ulaştı.
Openai, teknoloji topluluğunun ötesinde yaygın kullanıma sahip olan Chatgpt ve Dall-E gibi ürünler için bilinir. Birçok işletme ve çalışan ChatGPT istemleri hakkında hassas bilgiler girer ve bu anahtarların maruz kalması son derece risklidir.
Açık kaynaklı AI modelleri deposu Huggingface, sızdırılmış sırlarda dik bir artışa sahipti, bu da AI araştırmacıları ve geliştiricileri arasındaki artan popülaritesi ile doğrudan ilişkili.
Cohere, Claude, Clarifai, Google Bard, Pinecone ve Replication gibi diğer AI hizmetleri de çok daha düşük bir seviyede olmasına rağmen gizli sızıntılara sahipti.
AI hizmetlerini kullananların sırlarını daha iyi güvence altına almaları gerekirken, Gitguardian teknolojilerin sırları tespit etmek ve güvence altına almak için de kullanılabileceğini söylüyor.
Gitguardian, büyük dil modellerinin (LLM'ler) sızdırılmış sırların hızlı ve daha az yanlış pozitif ile kategorize edilmesine yardımcı olabileceğini söylüyor.
Bununla birlikte, devasa operasyonel ölçek, maliyet ve zaman düşünceleri ve tanımlama verimliliği, bu tür çabaları en azından şimdilik zorlaştıran sınırlayıcı faktörlerdir.
Geçen ay GitHub, yeni kodları platforma iterken kazara sırların maruz kalmasını önlemek için varsayılan olarak itme korumasını etkinleştirdi.
GitHub, Sırları Sızıntıyı Durdurmak İçin Varsayılan olarak Korumanın Varış Pushası
Github şimdi tüm depolar için otomatik blok jeton ve API anahtar sızıntıları olabilir
Google Mühendis, Çinli firmalar için AI teknoloji sırlarını çalmayı yakaladı
Cesur Tarayıcı, Android'de gizlilik odaklı AI Asistan'ı başlattı
Yüzü Backdoor kullanıcılarının makinelerinde sarılmak için kötü niyetli yapay zeka modelleri
Kaynak: Bleeping Computer