开源噩梦：GitHub一年泄露上千万密钥

天融信教育 2024-03-14 12:45:33  65487

分类专栏：资讯

据GitGuardian的最新报告，2023年GitHub平台上发生了大规模的敏感信息泄露事件，超过300万个公开代码库累计泄漏超过1280万个身份验证和敏感密钥，其中绝大部分信息在泄露后5天内仍保持有效。

凭证泄漏首次成为数据泄漏主因

2023年凭证泄露首次成为网络攻击和数据泄漏的主要原因。2023年的Sophos报告指出，凭证泄露是上半年所有攻击事件的根源之一，占比高达50%。漏洞利用紧随其后，占23%。

作为全球最受欢迎的代码托管和协作平台，GitHub上的密钥泄露事件自2020年以来呈快速恶化的增长趋势：

2020-2023年GitHub凭证信息泄漏快速增长来源：GitGuardian

2023年，GitGuardian扫描了11亿次提交（+10.6%），其中800万次提交至少暴露了一个秘密（+30.3%）。

GitGuardian向泄露密钥的用户发送了180万封免费电子邮件提醒，但仅仅只有1.8%的用户采取了措施纠正错误。泄露的敏感信息包括账户密码、API密钥、TLS/SSL证书、加密密钥、云服务凭证、OAuth令牌等，这些信息一旦落入外部人员手中，可能会导致数据泄露和财务损失。

凭证泄露的重灾区

2023年GitHub密钥泄露最为严重的国家是印度、美国、巴西、中国、法国、加拿大、越南、印度尼西亚、韩国和德国。

泄露最为严重的行业是IT行业，占比高达65.9%。其次是教育行业，占比20.1%。其他行业(科学、零售、制造、金融、公共管理、医疗、娱乐、交通)泄露占比为14%。

AI泄密暴增

生成式AI工具在2023年呈爆发式增长，在GitHub上泄露的AI项目相关密钥数量也同步增长。

与2022年相比，2023年在GitHub上泄露的OpenAI API密钥数量激增了1212倍，平均每月泄露46,441个API密钥，成为报告中增长最快的泄露数据点。OpenAI旗下的产品ChatGPT和DALL-E广受欢迎，不仅局限于科技圈。许多企业和员工会在ChatGPT提示中输入敏感信息，一旦密钥泄露，后果将不堪设想。

开源AI模型仓库Hugging Face的泄露密钥数量也急剧增加，这与其在AI研究人员和开发者中的日益流行直接相关。

OpenAIAPI密钥与Hugging Face用户访问令牌的月度泄漏数量数据来源：GitGuardian

其他AI服务(例如Cohere、Claude、Clarifai、Google Bard、Pinecone和Replicate)也出现了密钥泄露事件，但数量远低于OpenAI和Hugging Face。