<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 资讯 安全报 查看内容

      超过10万个GitHub repos泄露了API或加密密钥

      2019-3-24 10:38| 投稿: xiaotiger |来自: 互联网


      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡

      摘要: 研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描£¬发现超过10万个repos泄露了API令牌和加密密钥¡£据外媒报道£¬在6个月的时间里£¬研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描£¬发现超过10万个repos泄露了API令牌和加密密钥¡£ ...

      更多全球网络安全资讯尽在E安全官网www.easyaq.com

      小编来报£º研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描£¬发现超过10万个repos泄露了API令牌和加密密钥¡£

      据外媒报道£¬在6个月的时间里£¬研究人员对GitHub所?#27844;?#20849;资源库中13%的文件进行了扫描£¬发现超过10万个repos泄露了API令牌和加密密钥¡£

      这是美国北卡罗来纳州立大学£¨NCSU£©的一个团队进行的学术研究£¬研究结果已与GitHub共享¡£GitHub根据研究结果加快了新安全功能令牌扫描£¨Token scan£©的开发£¬该功能目前处于beta测试阶段¡£

      学者们扫描了数十亿GitHub文件

      NCSU对GitHub的扫描研究是迄今为止最全面¡¢最深入的¡£从2017年10月31日到2018年4月20日£¬NCSU的学者对GitHub账户进行了近6个月的扫描£¬搜索API令牌和加密密钥等格式的文本字符串¡£

      他们不仅使用GitHub Search API来查找这些文本模式£¬?#20849;?#30475;了记录在谷歌的BigQuery数据库中的GitHub资源库¡£

      三人组成的NCSU团队表示£¬他们使用GitHub搜索API捕获并分析了681,784个repos的4,394,476个文件£¬以及谷歌的BigQuery数据库中记录的3,374,973个repos中的2,312,763,353个文件¡£

      NCSU团队扫描了11家公司的API令牌

      在这一大堆文件中£¬研究人员寻找以特定API令牌或加密密钥格式的文本字符串¡£

      由于并非所有API令牌和加密密钥都是相同的格式£¬NCSU团队决定使用15种API令牌格式(来自11家公司的15个服务£¬其中5个来自Alexa Top 50)和4种加密密钥格式¡£

      其中包括Google¡¢Amazon¡¢Twitter¡¢Facebook¡¢Mailchimp¡¢MailGun¡¢Stripe¡¢Twilio¡¢Square¡¢Braintree和Picatic使用的API关键格式¡£

      结果很快?#32479;?#26469;了£¬在这个研究项目中£¬每天?#21152;?#25104;千上万的API和密钥泄漏被发现¡£

      NCSU团队表示£¬他们总共发现了575,456个API和加密密钥£¬其中有201,642个是唯一的£¬它们分布在超过100,000个GitHub项目中¡£

      研究团队在他们的学术论文中发现£¬使用谷歌搜索API发现的¡°秘密¡±和通过谷歌BigQuery数据集发现的¡°秘密¡±几乎没有重复¡£

      此外£¬大多数API令牌和加密密钥£¨93.58%£©来自个体帐户£¬这表明大多数API和加密密钥是正在使用的有效令牌和密钥£¬因为用户组帐户通常有用于共享测试环境和开发代码的测试令牌¡£

      泄漏的API和加密密钥在网上挂了几个星期

      研究人员观察了账户所有者是否会意识到API和加密密钥的泄露¡£结果显示£¬他们跟踪的6%的API和加密密钥在泄露后一小时内被?#22659;ý£?#36825;表明这些GitHub的所有者立即意识到了安全问题¡£

      超过12%的密钥和令牌在一天之后就不见了£¬而19%的密钥和令牌则可?#21592;?#30041;16天之久¡£

      研究小组发现了一些重要的泄密数据¡£研究人员发现了564个谷歌API密钥£¬这些密钥被一个在线站点用来绕过YouTube的速率限制£¬并下载YouTube上的视频£¬这些视频随后被?#27844;?#22312;另一个视频共享门户网站上¡£

      研究人员还在OpenVPN配置文件中发现了7280个RSA密钥¡£通过查看这些配置文件中的其他设置£¬研究人员表示£¬绝大多数用户已经禁用了密码验证£¬并且完全依赖RSA密钥进行验证£¬发现这些密钥的人可以访问数千个私有网络¡£

      北卡罗莱纳州立大学计算机科学系助理教授Brad Reaves表示£¬由于这类泄漏非常普遍£¬很难通知所有受影响的开发商¡£而且£¬研究人员没有办法大规模获取GitHub开发人员的联系信息¡£

      这一事件表明£¬对新手和专家来说£¬开放源代码软件库中的证书管理仍然具有挑战性¡£

      注£º本文由E安全编译报道,转载请注明原文地址

      https://www.easyaq.com

      推荐阅读£º

      • 一名立陶宛男子从谷歌和Facebook处诈骗获得1.23亿美元

      • ?#38053;?#21202;索软件仅需两步

      • 如何确保现代世界的工业物联网安全

      • 新加坡又双叒叕有数据泄露事件£¬政府职员邮箱密码在暗网出售

      • 从委内瑞拉大停电事件看电力系统安全防护

      • 注意£¡NSA逆向工程工具存在远程代码执行漏洞

      ¨‹点击¡°阅读原文¡± 查看更多精彩内容

      ?#19981;?#35760;得打赏小E哦£¡



      小编推荐£º欲学习电脑技术¡¢系统维护¡¢网络管理¡¢编程开发和安全攻防等高端IT技术£¬请 点击这里 注册账号£¬公开课频道价值万元IT培训教程免费学£¬让您少走弯路¡¢事半功倍£¬好工作升职加薪£¡

      本文出自£ºhttps://www.toutiao.com/a6671769365920088589/

      免责声明£º本站系公益性非盈利IT技术普及网£¬本文由投稿者转载自互联网的公开文章£¬文末均已注明出处£¬其内容和?#35745;?#29256;权归原网站或作者所有£¬文中所述不代表本站观点£¬若有无意侵权或转载不当之处请从网站右下角联系我们处理£¬谢谢合作£¡


      鲜花

      ?#24080;?/a>

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      Ðþ»úͼ
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>