Hơn 12 triệu thông tin bí mật và khóa xác thực bị rò rỉ trên GitHub

GitGuardian đã gửi 1,8 triệu thông báo qua email cho những người để lộ bí mật và chỉ có 1,8% số người được liên hệ thực hiện hành động để khắc phục vấn đề.

Các thông tin bí mật bị lộ bao gồm mật khẩu tài khoản, khóa API, chứng chỉ TLS/SSL, khóa mã hóa, thông tin xác thực dịch vụ cloud, mã xác thực (token) OAuth và dữ liệu nhạy cảm khác có thể cung cấp cho các tác nhân đe dọa quyền truy cập không giới hạn vào các tài nguyên và dịch vụ riêng khác nhau, dẫn đến vi phạm dữ liệu và thiệt hại tài chính.

Một báo cáo của Sophos năm 2023 nhấn mạnh rằng thông tin xác thực bị xâm phạm chiếm 50% nguyên nhân cốt lõi của tất cả các cuộc tấn công được ghi nhận trong nửa đầu năm, tiếp theo là khai thác lỗ hổng, chiếm 23% các trường hợp.

Các quốc gia "rò rỉ" nhiều nhất vào năm 2023 là Ấn Độ, Mỹ, Brazil, Trung Quốc, Pháp, Canada, Việt Nam, Indonesia, Hàn Quốc và Đức.

Xét về lĩnh vực, CNTT đứng đầu danh sách rò rỉ với tỷ lệ lớn nhất là 65,9%, tiếp theo là giáo dục với tỷ lệ đáng chú ý là 20,1% và các lĩnh vực khác (khoa học, bán lẻ, sản xuất, tài chính, hành chính công, y tế, giải trí, vận tải) chiếm 14%.

Một số công cụ phát hiện có thể xác định và chuyển các bí mật bị rò rỉ thành các danh mục hữu hình hơn cho thấy mức độ phơi nhiễm lớn của các khóa (key) Google API và Google Cloud, thông tin xác thực MongoDB, các token bot OpenWeatherMap và Telegram, thông tin xác thực MySQL và PostgreSQL cũng như các khóa GitHub OAuth.

2,6% bí mật bị lộ đã được thu hồi trong vòng một giờ đầu tiên, nhưng 91,6% vẫn có hiệu lực ngay cả sau năm ngày, GitGuardian sau đó đã ngừng theo dõi trạng thái của chúng. Riot Games, GitHub, OpenAI và AWS dường như có cơ chế phản hồi tốt nhất để giúp phát hiện các cam kết (commit) tiềm ẩn rủi ro và khắc phục tình trạng này.

Các công cụ AI tạo sinh (Generative AI) tiếp tục phát triển bùng nổ vào năm 2023, điều này cũng được phản ánh qua số lượng bí mật liên quan bị lộ trên GitHub vào năm ngoái. GitGuardian ghi nhận số lượng khóa API OpenAI bị rò rỉ trên GitHub tăng gấp 1.212 lần so với năm 2022, rò rỉ trung bình 46.441 khóa API mỗi tháng, giữ vị trí tăng trưởng cao nhất trong báo cáo.

OpenAI được biết đến với các sản phẩm như ChatGPT và DALL-E, được sử dụng rộng rãi không chỉ trong cộng đồng công nghệ. Nhiều doanh nghiệp và nhân viên nhập thông tin nhạy cảm trên ChatGPT và việc lộ các khóa này là cực kỳ rủi ro.

Kho lưu trữ mô hình AI nguồn mở HuggingFace có số lượng bí mật bị rò rỉ tăng mạnh, điều này liên quan trực tiếp đến mức độ phổ biến ngày càng tăng của nó đối với các nhà nghiên cứu và phát triển AI.

Các dịch vụ AI khác như Cohere, Claude, Clarifai, Google Bard, Pinecone và Replicate cũng bị rò rỉ bí mật, mặc dù ở mức độ thấp hơn nhiều. Như một biện pháp giảm thiểu, tháng trước, GitHub đã bật tính năng ‘push protection’ theo mặc định để ngăn chặn việc vô tình tiết lộ bí mật khi push mã mới lên nền tảng.