По подсчетам исследователей безопасности сейчас на сайте содержится порядка 10 тысяч таких ключей.
Разработчики GitHub, являющиеся по совместительству пользователями Amazon Web Services (AWS), получили рекомендацию проверить обнародованный ими на своих страницах код и удалить оттуда секретные ключи доступа для учетной записи AWS, которые могли случайно туда попасть.
«При получении доступа к AWS программным путем проверка подлинности пользователя и приложений происходит с помощью ключа доступа. Этот ключ состоит из access key ID (что-то вроде AKIAIOSFODNN7EXAMPLE), а также секретного ключа доступа (что-то вроде wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY), — инструктируют в Amazon. — Любой, кто знает ключ доступа, способен получить тот же уровень доступа к AWS-ресурсам пользователя, что и владелец этого ключа».
В компании также отметили, что случаи, когда клиенты компании случайно публикуют свои ключи корневого доступа к репозиториям вовсе не редки, в связи с чем их стоит либо удалить, либо вовсе не создавать, если в этом нет необходимости.
Это также подтвердил исследователь безопасности Тай Миллер (Ty Miller), глава компании Threat Intelligence, специализирующейся на проведении тестов на проникновение.
По его словам, найти эти ключи довольно просто и сделать это позволяет имеющийся на GitHub функционал поиска. Так, в настоящий момент на сайте доступные порядка 10 тысяч таких ключей.
Подробнее:
www.securitylab.ru/news/450802.php
