Theo các chuyên gia bảo mật tại GitGuardian, người dùng GitHub đã vô tình tiết lộ 12,8 triệu thông tin bí mật và xác thực trong hơn 3 triệu kho lưu trữ công khai trong năm 2023, phần lớn các thông tin này vẫn còn hiệu lực sau 5 ngày kể từ khi được cảnh báo.
GitGuardian đã gửi 1,8 triệu thông báo qua email cho những người để lộ bí mật và chỉ có 1,8% số người được liên hệ thực hiện hành động để khắc phục vấn đề.
Các thông tin bí mật bị lộ bao gồm mật khẩu tài khoản, khóa API, chứng chỉ TLS/SSL, khóa mã hóa, thông tin xác thực dịch vụ cloud, mã xác thực (token) OAuth và dữ liệu nhạy cảm khác có thể cung cấp cho các tác nhân đe dọa quyền truy cập không giới hạn vào các tài nguyên và dịch vụ riêng khác nhau, dẫn đến vi phạm dữ liệu và thiệt hại tài chính.
Một báo cáo của Sophos năm 2023 nhấn mạnh rằng thông tin xác thực bị xâm phạm chiếm 50% nguyên nhân cốt lõi của tất cả các cuộc tấn công được ghi nhận trong nửa đầu năm, tiếp theo là khai thác lỗ hổng, chiếm 23% các trường hợp.
Hàng triệu bí mật bị lộ trên GitHub mỗi năm (GitGuardian)
Các quốc gia "rò rỉ" nhiều nhất vào năm 2023 là Ấn Độ, Mỹ, Brazil, Trung Quốc, Pháp, Canada, Việt Nam, Indonesia, Hàn Quốc và Đức.
Xét về lĩnh vực, CNTT đứng đầu danh sách rò rỉ với tỷ lệ lớn nhất là 65,9%, tiếp theo là giáo dục với tỷ lệ đáng chú ý là 20,1% và các lĩnh vực khác (khoa học, bán lẻ, sản xuất, tài chính, hành chính công, y tế, giải trí, vận tải) chiếm 14%.
Một số công cụ phát hiện có thể xác định và chuyển các bí mật bị rò rỉ thành các danh mục hữu hình hơn cho thấy mức độ phơi nhiễm lớn của các khóa (key) Google API và Google Cloud, thông tin xác thực MongoDB, các token bot OpenWeatherMap và Telegram, thông tin xác thực MySQL và PostgreSQL cũng như các khóa GitHub OAuth.
2,6% bí mật bị lộ đã được thu hồi trong vòng một giờ đầu tiên, nhưng 91,6% vẫn có hiệu lực ngay cả sau năm ngày, GitGuardian sau đó đã ngừng theo dõi trạng thái của chúng.
Riot Games, GitHub, OpenAI và AWS dường như có cơ chế phản hồi tốt nhất để giúp phát hiện các cam kết (commit) tiềm ẩn rủi ro và khắc phục tình trạng này.
Xu hướng AI
Các công cụ AI tạo sinh (Generative AI) tiếp tục phát triển bùng nổ vào năm 2023, điều này cũng được phản ánh qua số lượng bí mật liên quan bị lộ trên GitHub vào năm ngoái.
GitGuardian ghi nhận số lượng khóa API OpenAI bị rò rỉ trên GitHub tăng gấp 1.212 lần so với năm 2022, rò rỉ trung bình 46.441 khóa API mỗi tháng, giữ vị trí tăng trưởng cao nhất trong báo cáo.
OpenAI được biết đến với các sản phẩm như ChatGPT và DALL-E, được sử dụng rộng rãi không chỉ trong cộng đồng công nghệ. Nhiều doanh nghiệp và nhân viên nhập thông tin nhạy cảm trên ChatGPT và việc lộ các khóa này là cực kỳ rủi ro.
Kho lưu trữ mô hình AI nguồn mở HuggingFace có số lượng bí mật bị rò rỉ tăng mạnh, điều này liên quan trực tiếp đến mức độ phổ biến ngày càng tăng của nó đối với các nhà nghiên cứu và phát triển AI.
Các dịch vụ AI khác như Cohere, Claude, Clarifai, Google Bard, Pinecone và Replicate cũng bị rò rỉ bí mật, mặc dù ở mức độ thấp hơn nhiều.
Như một biện pháp giảm thiểu, tháng trước, GitHub đã bật tính năng ‘push protection’ theo mặc định để ngăn chặn việc vô tình tiết lộ bí mật khi push mã mới lên nền tảng.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Microsoft đã phát hành bản vá bảo mật hằng tháng Patch Tuesday của tháng 3 năm 2024 để giải quyết 60 lỗ hổng, bao gồm 18 lỗi thực thi mã từ xa.
Tín nhiệm mạng | Các nhà phát triển ví tiền điện tử Leather đang cảnh báo về một ứng dụng giả mạo trên Apple App Store. Trong vài ngày qua, nhiều người đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.
Tín nhiệm mạng | Nhóm tin tặc có động cơ tài chính có tên Magnet Goblin đang lạm dụng các lỗ hổng ‘1-day’ để xâm nhập các máy chủ công khai và triển khai phần mềm độc hại trên các hệ thống Windows và Linux.
Tín nhiệm mạng | Các tác nhân đe dọa đã sử dụng các trang web giả mạo để quảng cáo phần mềm hội nghị trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán nhiều loại phần mềm độc hại, nhắm mục tiêu cả người dùng Android và Windows kể từ tháng 12 năm 2023
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật để giải quyết một số lỗ hổng bảo mật, bao gồm hai lỗ hổng mà hãng cho biết đã bị khai thác trong thực tế.
Nhóm ransomware TheGhostSec và Stormous đang cùng nhau thực hiện các cuộc tấn công ransomware ở nhiều quốc gia khác nhau, bao gồm Việt Nam