Organisaties lekten in 6 meer dan 2021 miljoen wachtwoorden, API-sleutels en andere gevoelige gegevens - gezamenlijk bekend als "ontwikkelingsgeheimen" - een verdubbeling ten opzichte van het voorgaande jaar, volgens een nieuw GitGuardian-rapport dat vandaag is gepubliceerd. Het rapport verklaart dat er meer code naar repositories wordt gepusht en dat er betere detectiemogelijkheden beschikbaar zijn.
Gemiddeld ontdekte het bedrijf dat drie van elke 1,000 commits aan GitHub een geheim lekten, een frequentie die 50% hoger is dan in 2020. Meer dan de helft van de geheimen bestond uit inloggegevens voor toegang tot gegevensopslagservices, cloudproviders, een privécoderingssleutel, of een ontwikkeltool, terwijl nog eens 10% bestond uit inloggegevens voor berichtensystemen en versiebeheerplatforms.
Het lekken van gevoelige toegangsinformatie naar potentiële aanvallers ondermijnt de veiligheid van bedrijfsnetwerken en -infrastructuur, zegt Mackenzie Jackson, een voorstander van ontwikkelaars bij GitGuardian. De term 'geheim' verwijst naar alle inloggegevens voor digitale authenticatie die 'toegang verlenen tot services, systemen en gegevens', inclusief API-sleutels, applicatie- of servicereferenties en beveiligingscertificaten, zegt GitGuardian.
"Bij bijna alle aanvallen worden geheimen op de een of andere manier gebruikt, misschien niet als eerste toegang, maar zeker om de privileges van aanvallers te verhogen en naar andere systemen te gaan", zegt Jackson. "We waren oprecht verrast om deze drastische toename te zien, maar het komt natuurlijk neer op de toegenomen hoeveelheid technologie die ontwikkelaars gebruiken en andere factoren, zoals werken op afstand."
Het rapport volgt op enkele belangrijke inbreuken in 2021 waarbij geheimen zijn gelekt. Een jaar geleden, aanvallers misbruik gemaakt van een kwetsbaarheid in de manier waarop codecontrolebedrijf CodeCov Docker-afbeeldingen heeft gemaakt, waarbij een uploadtool is aangepast om ook referenties naar de aanvallers te sturen, wat waarschijnlijk de ontwikkelingsprocessen van honderden bedrijven in gevaar brengt. Bij een andere inbreuk lekten aanvallers de broncode van de game-streamingsite Twitch, waardoor meer dan 6,000 Git-opslagplaatsen en 3 miljoen documenten werden blootgelegd, en meer dan 6,600 ontwikkelingsgeheimen lekken die voor verdere inbreuken hadden kunnen worden gebruikt.
Gelekte geheimen een overweldigend probleem
Over het algemeen ontdekte een typisch bedrijf met 400 ontwikkelaars die zijn repositories scanden, 1,050 unieke geheimen die waren achtergelaten in de code van ontwikkelaars, volgens GitGuardian-rapport. Het bedrijf benadrukt dat het vinden en herstellen van gelekte geheimen de capaciteiten van de AppSec-professionals die zijn belast met het beveiligen van ontwikkelingsprojecten te boven gaat. Gemiddeld heeft elke applicatie-engineer bij een bedrijf te maken met meer dan 3,400 gelekte geheimen, zegt Jackson.
"Het is echt een onmogelijke taak - ze zijn totaal overweldigd door het probleem", zegt hij. "Om dit op te lossen, moeten we een deel van de gedeelde verantwoordelijkheid bij ontwikkelaars introduceren, moeten we ontwikkelaars voorzien van tools en moeten we onderwijs hebben."
GitGuardian breidde zijn analyse dit jaar uit naar openbare Docker-images en private repositories van organisaties. Bovendien heeft het bedrijf meer dan 350 verschillende patronen voor het detecteren van geheimen, vergeleken met de 250 detectoren die in 2020 werden gebruikt. Veel ontwikkelaars besteden minder aandacht aan geheimbeheer voor privérepositories, in de overtuiging dat zelfs als ze zouden worden onthuld, de geheimen niet openbaar zouden worden gemaakt. Maar code heeft de neiging zich over een organisatie te verspreiden, zegt Jackson.
"De realiteit is dat die code vandaag de dag naar je privérepository gaat, dan wordt gekloond op al je ontwikkelaarsmachines - misschien hun persoonlijke en professionele machines - en vervolgens wordt gedeeld met berichtensystemen", zegt hij. "Dus het is gemakkelijk om elke plaats waar de code naartoe gaat uit het oog te verliezen."
Volgens het GitGuardian-rapport waren lekken in privérepositories verantwoordelijk voor de overgrote meerderheid van de incidenten, waarbij 85% van de gelekte referenties voor toegang tot de Azure-cloud bijvoorbeeld plaatsvonden in privérepositories.
Persoonlijke projecten hebben invloed op ondernemingen
Een andere interessante bevinding uit het rapport is dat ontwikkelaars de neiging hebben om de meeste geheimen in het weekend en op feestdagen te lekken, wat suggereert dat ze minder voorzichtig zijn - of minder veiligheidscontroles hebben - op hun persoonlijke projecten.
Die lekken brengen echter nog steeds de veiligheid van bedrijven in gevaar, zegt Jackson.
“GitHub is vrij uniek in die zin dat als je een account hebt op GitHub.com, en als je organisatie GitHub gebruikt, je hetzelfde account voor beide kunt gebruiken, waardoor er een vreemde verwarring ontstaat tussen wat werk is en wat persoonlijke ontwikkeling is. ," hij zegt. "Dus er is veel cross-over in wat we zien - bedrijfssleutels worden gelekt in persoonlijke git-repositories."
Bedrijven moeten ontwikkelaars nauwer betrekken bij applicatiebeveiliging en een model voor gedeelde verantwoordelijkheid creëren, stelt GitGuardian in het rapport. Door een ontwikkelaar erbij te betrekken, worden 72% meer incidenten gesloten en twee keer zo snel verholpen dan wanneer AppSec-professionals het alleen moeten doen.
"Door het scannen van kwetsbaarheden in de ontwikkelingsworkflow te integreren, is beveiliging geen bottleneck meer - u kunt ontwikkelaars helpen kwetsbaarheden in een vroeg stadium op te sporen en de herstelkosten aanzienlijk te beperken", stelt het rapport. "Dit geldt nog meer voor de detectie van geheimen, die erg gevoelig is voor uitgestrektheid."
