Nel corso del 2023, gli utenti di GitHub hanno accidentalmente esposto 12,8 milioni di segreti di autenticazione e altri dati sensibili in oltre 3 milioni di repository pubblici, con la maggior parte di questi segreti che rimangono validi anche dopo cinque giorni dalla loro esposizione.
Allarme sicurezza da GitGuardian
GitGuardian, esperti in cybersecurity, hanno inviato 1,8 milioni di avvisi via email a coloro che hanno esposto segreti, registrando però solo una minima risposta con il 1,8% degli interessati che ha agito rapidamente per risolvere il problema. I segreti esposti includono password, chiavi API, certificati TLS/SSL, chiavi di crittografia, credenziali di servizi cloud, token OAuth, tra gli altri, mettendo a rischio l’accesso a risorse e servizi privati.
Trend negativo
Secondo un rapporto del 2023 di Sophos, le credenziali compromesse hanno rappresentato il 50% delle cause radice di tutti gli attacchi registrati nella prima metà dell’anno. GitGuardian segnala che l’esposizione di segreti su GitHub ha seguito un trend negativo dal 2020.
Distribuzione Geografica delle Fughe
I paesi con il maggior numero di segreti esposti nel 2023 includono India, Stati Uniti, Brasile, Cina, Francia, Canada, Vietnam, Indonesia, Corea del Sud e Germania. Per quanto riguarda i settori, l’IT domina con il 65,9% dei segreti esposti, seguito dall’educazione con il 20,1%.
Tipi di Segreti Compromessi
I detector generici di GitGuardian hanno catturato circa il 45% di tutti i segreti rilevati nel 2023, mentre i detector specifici hanno evidenziato un’enorme esposizione di chiavi API Google e Google Cloud, credenziali MongoDB, token di bot OpenWeatherMap e Telegram, credenziali MySQL e PostgreSQL, e chiavi OAuth GitHub.
Tempi di Revoca dei Segreti
Il 2,6% dei segreti esposti viene revocato entro la prima ora, ma il 91,6% rimane valido anche dopo cinque giorni. Aziende come Riot Games, GitHub, OpenAI e AWS mostrano i migliori meccanismi di risposta per rilevare e correggere i commit problematici.
Crescita delle Fughe di AI
Nel 2023, si è registrato un incremento massiccio dei segreti relativi all’intelligenza artificiale esposti su GitHub, con un aumento di 1.212 volte nel numero di chiavi API OpenAI rilasciate rispetto al 2022. Anche il repository di modelli di AI open-source HuggingFace ha visto un significativo aumento dei segreti rivelati.
Questi dati evidenziano la crescente necessità per gli sviluppatori e le aziende di migliorare la sicurezza e la gestione dei segreti per prevenire fughe di dati e violazioni della sicurezza. Con l’aumento dell’uso di servizi AI, è fondamentale adottare misure preventive più efficaci.
