Selon une nouvelle tude d’Aqua Security, des secrets d’entreprise pourraient tre divulgus par inadvertance via les dpts GitHub.
En analysant les 100 organisations les plus populaires sur GitHub, qui comprend collectivement plus de 50 000 dpts accessibles au public, les chercheurs d’Aqua ont trouv des secrets actifs d’organisations open source et d’entreprises telles que Cisco et Mozilla donnant accs des donnes et des logiciels sensibles. Les secrets dvoils pourraient entraner des pertes financires considrables, une atteinte la rputation et des consquences juridiques.
La recherche montre que les « secrets fantmes » peuvent persister dans l’infrastructure base sur Git utilise par la plupart des systmes de gestion du code source (SCM), y compris GitHub, GitLab, Bitbucket et d’autres. Cela est d la manire dont les commits de code, mme supprims ou mis jour, sont sauvegards dans ces systmes, de sorte que mme une erreur ponctuelle d’un dveloppeur peut exposer des secrets des acteurs de la menace aviss sur de longues priodes.
Nos conclusions sont vraiment alarmantes et il est essentiel que toutes les personnes impliques dans le dveloppement de logiciels prennent conscience de la gravit de ce problme , dclare Yakir Kadkoda, chercheur principal en scurit chez Aqua Nautilus. Pendant des annes, nous avons duqu les dveloppeurs ne pas coder en dur des secrets dans leur code. Aujourd’hui, il s’avre que le fait de le faire ne serait-ce qu’une seule fois expose dfinitivement ce secret, mme s’ils pensaient qu’il avait t supprim ou cras. L’impact d’une fuite de donnes sensibles peut conduire un accs non autoris, des contrles de scurit compromis et des dommages financiers ou de rputation importants. Ce serait dvastateur .
Parmi les secrets exposs dcouverts en analysant les dpts GitHub ouverts se trouvaient des jetons API de Cisco Meraki et du projet Mozilla. L’quipe de scurit de Cisco a confirm ces dcouvertes : Nous avons dcouvert des jetons d’API Meraki privilgis utiliss par certaines entreprises du classement Fortune 500. Ces jetons pourraient permettre aux attaquants d’accder des dispositifs de rseau, des secrets du protocole de gestion de rseau simple, des squences de camras, et plus encore, servant de point d’ancrage initial pour les parties exposes.
Le projet Mozilla a galement reconnu qu’ un jeton API pour le Mozilla FuzzManager avec des privilges de lecture-criture et le jeton API d’un employ pour sql.telemetry.mozilla.org ont t divulgus . Ces deux failles ont t classes dans la catgorie « critique ». Non seulement le FuzzManager permet d’accder de nombreuses failles de scurit potentielles dans Firefox et Tor, mais la tlmtrie donne accs des informations confidentielles lies aux produits et aux activits de Mozilla.
propos d’Aqua Security
Aqua Security bloque les attaques natives du cloud tout au long du cycle de vie des applications et est la seule entreprise disposer du Cloud Native Protection Warranty d’un montant de 1 million de dollars pour le garantir. En tant que pionnier de la scurit native du cloud, Aqua aide ses clients rduire les risques tout en construisant l’avenir de leur entreprise. La plateforme Aqua est la plateforme de protection des applications cloud natives (CNAPP) la plus intgre du secteur, protgeant le cycle de vie des applications, du code au cloud et inversement. Fonde en 2015, Aqua est base Boston, MA et Ramat Gan, IL avec des clients Fortune 1000 dans plus de 40 pays.
Source : « Phantom Secrets: Undetected Secrets Expose Major Corporations » (tude d’Aqua Security)
Et vous ?
Quelle lecture faites-vous de cette situation ?
Trouvez-vous les conclusions de cette tude d’Aqua Security crdibles ou pertinentes ?
Voir aussi :