Technologie
Une pratique de développement risquée expose les clés d’accès de l’entreprise

Les clés d’accès de l’entreprise, utilisées par les développeurs pour s’authentifier dans d’autres systèmes, sont trop souvent exposées au public pendant le processus de développement de logiciels, mettant les données de l’entreprise à risque d’être compromises par des acteurs malveillants à l’affût d’un accès facile aux systèmes d’entreprise.
C’est ce qui ressort des nouvelles données recueillies par Digital Shadows, qui a parcouru plus de 150 millions d’entités de GitHub, GitLab et Pastebin en une période de 30 jours, et évalué et classé près de 800 000 clés d’accès et secrets.
Il a déclaré que plus de 40% de ces clés auraient accordé l’accès aux magasins de bases de données, 38% aux environnements cloud, y compris AWS, Google Cloud et Microsoft Azure, et 11% pour les services en ligne, y compris les plates-formes de collaboration telles que Slack, et les systèmes de paiement.
« Comme le développement de logiciels est de plus en plus distribué entre les équipes internes et les équipes externalisées, il est devenu difficile de surveiller l’exposition d’informations sensibles », a déclaré Russell Bentley, vice-président produit chez Digital Shadows.
« Chaque jour, des informations techniques telles que des clés et des secrets sont exposées en ligne aux plateformes de collaboration de code. Normalement, c’est accidentel, mais nous avons vu des preuves que les acteurs de la menace fouillent les dépôts publics et cherchent à les utiliser afin d’accéder à des données sensibles et d’infiltrer les organisations.
« La plupart des services que nous avons identifiés sont sécurisés par conception, mais, comme toujours, les humains sont le maillon faible de la chaîne et rendent souvent l’information publique alors qu’elle devrait être privée. »
Bentley a déclaré que l’impact des clés de base de données exposées était « particulièrement profond », offrant aux acteurs malveillants un accès non autorisé aux données d’entreprise et aux informations personnelles identifiables (PII) avec des autorisations pour les exposer, les détruire ou les manipuler. Les informations d’identification pour Redis, MySQL et MongoDB ont été les plus souvent exposées, at-il dit.
Si un acteur non autorisé devait réussir à s’authentifier dans l’environnement cloud d’une cible, l’impact pourrait être tout aussi grave, ce qui lui donnerait encore une fois la possibilité d’exposer, de détruire ou de manipuler d’une autre manière des données sensibles. En ce qui concerne les fournisseurs de cloud publics, Digital Shadows a déclaré que les environnements Google Cloud étaient les plus susceptibles d’avoir des clés exposées, suivis par les jetons Microsoft Azure et SAS.
Elle a noté que, bien qu’AWS soit le leader du marché, les clés exposées pour ses services représentaient une proportion beaucoup plus faible du total.
En termes de services en ligne, tels que Slack, les acteurs malveillants pourraient utiliser des clés compromises pour poster des messages d’hameçonnage directement dans les canaux de leur victime, accéder à des informations sensibles transmises dans les conversations, et accéder à des espaces de travail Slack. Les clés compromises des services de paiement, telles que les clés API Stripe, auraient également des conséquences désastreuses.
Digital Shadows a déclaré que les utilisateurs pourraient prendre un certain nombre de cours d’action, tels que l’utilisation d’outils tels que Trufflehog pour rechercher dans les référentiels git pour les secrets accidentellement commis, ou GitRob, qui peut être utile pour trouver des fichiers sensibles poussés à des dépôts publics sur GitHub.
L’analyse secrète GitHub peut également fournir une surveillance pour bon nombre des types de clés les plus fréquemment exposés observés par Digital Shadows, bien qu’elle ne s’étende pas toujours aux magasins de bases de données.
-
Technologie2 ans ago
Une escroquerie par hameçonnage cible les clients de la Lloyds Bank
-
Monde2 ans ago
La NASA va supprimer les noms « offensants » des planètes et des galaxies
-
Monde2 ans ago
Quelle est la taille de Barron Trump?
-
Monde2 ans ago
Qui est le mari de Candace Owens, George Farmer?
-
Monde2 ans ago
Qui est le chef de la mafia sicilienne Matteo Messina Denaro?
-
France2 ans ago
Qui est Luce Douady et comment l’alpiniste de 16 ans est-il mort?
-
France2 ans ago
Le mari admet avoir tué sa femme en vacances et jeter le corps dans les égouts pluviaux
-
France2 ans ago
L’enseignant primaire accro au tatouage avec EYEBALLS noirci terrifie les enfants avec l’art corporel