Κατά τη διάρκεια του 2023, εκτέθηκαν κατά λάθος 12,8 εκατομμύρια στοιχεία ελέγχου ταυτότητας και άλλα ευαίσθητα δεδομένα σε τρία εκατομμύρια δημόσια repositories GitHub.
Ερευνητές της GitGuardian έστειλαν πάνω από 1,8 εκατομμύρια ειδοποιήσεις μέσω email σε όσους αποκάλυψαν κατά λάθος αυτά τα μυστικά. Ωστόσο, μόνο το 1,8% όσων ενημερώθηκαν για αυτές τις διαρροές έλαβαν άμεσα μέτρα για την αφαίρεση των εκτεθειμένων στοιχείων.
Τα εκτεθειμένα δεδομένα στο GitHub περιλαμβάνουν κωδικούς πρόσβασης λογαριασμού, API keys, πιστοποιητικά TLS/SSL, κλειδιά κρυπτογράφησης, credentials υπηρεσιών cloud, OAuth tokens και άλλα ευαίσθητα δεδομένα που θα μπορούσε να χρησιμοποιήσει ένας κακόβουλος χρήστης για να αποκτήσει πλήρη πρόσβαση σε λογαριασμούς και υπηρεσίες.
Η έκθεση αυτών των ευαίσθητων δεδομένων μπορεί να οδηγήσει και σε οικονομικές απώλειες. Οι επιτιθέμενοι μπορεί να χρησιμοποιήσουν τα δεδομένα για να διαπράξουν απάτες, όπως η κλοπή ταυτότητας ή η απάτη πιστωτικής κάρτας.
Επιπλέον, η έκθεση ευαίσθητων δεδομένων μπορεί να έχει νομικές επιπτώσεις. Αν οι χρήστες έχουν εκθέσει δεδομένα τρίτων, μπορεί να έρθουν αντιμέτωποι με νομικές κυρώσεις.
Δείτε επίσης: ChatGPT: Χιλιάδες credentials προς πώληση στο dark web
Μια έκθεση της Sophos για το 2023 τόνισε ότι τα παραβιασμένα credentials ήταν η βασική αιτία (στο 50% των περιπτώσεων) για όλες τις επιθέσεις που καταγράφηκαν το πρώτο εξάμηνο του έτους.
Σύμφωνα με την GitGuardian, οι χώρες που έκαναν τις πιο πολλές διαρροές δεδομένων στο GitHub, το 2023, ήταν η Ινδία, οι Ηνωμένες Πολιτείες, η Βραζιλία, η Κίνα, η Γαλλία, ο Καναδάς, το Βιετνάμ, η Ινδονησία, η Νότια Κορέα και η Γερμανία.
Δείτε επίσης: Roblox: 34 εκατ. credentials έχουν βρεθεί στο dark web από το 2021
Όσον αφορά στους τομείς που επηρεάστηκαν περισσότερο από αυτές τις διαρροές, η πληροφορική βρίσκεται στην κορυφή της λίστας. Ακολουθεί η εκπαίδευση και μετά διάφοροι άλλοι κλάδοι, όπως η επιστήμη, το λιανικό εμπόριο, οι κατασκευές, τα οικονομικά, η δημόσια διοίκηση, η υγειονομική περίθαλψη, η ψυχαγωγία και οι μεταφορές.
Οι ανιχνευτές της GitGuardian έπιασαν περίπου το 45% όλων των εκτεθειμένων μυστικών στο GitHub που εντόπισε η εταιρεία το 2023 και κατέληξε στο ότι υπήρχαν κυρίως Google API και Google Cloud keys, MongoDB credentials, OpenWeatherMap και Telegram bot tokens, MySQL και PostgreSQL credentials και GitHub OAuth keys.
Δείτε επίσης: GitHub: Από προεπιλογή διαθέσιμο πλέον το Secret Scanning Push Protection
Το 2,6% των εκτεθειμένων μυστικών ανακαλούνται εντός της πρώτης ώρας, αλλά ένα τεράστιο 91,6% παραμένει σε ισχύ ακόμη και μετά από πέντε ημέρες, σύμφωνα με την GitGuardian.
Τα εργαλεία Generative AI συνέχισαν την εκρηκτική ανάπτυξή τους το 2023, που αντικατοπτρίζεται επίσης στον αριθμό των σχετικών μυστικών που εκτέθηκαν στο GitHub πέρυσι (π.χ. OpenAI API keys). Άλλες υπηρεσίες τεχνητής νοημοσύνης, όπως οι Cohere, Claude, Clarifai, Google Bard, Pinecone και Replicate, επηρεάστηκαν, επίσης, αλλά σε χαμηλότερο βαθμό.
Πηγή: www.bleepingcomputer.com
