外媒報導,Escape 的安全研究團隊掃描了 1.895 億個 URL,發現超過 18,000 個 API 金鑰外洩,其中 41% 的外洩金鑰屬於高度危險的類別,可能會對組織造成財務風險。
外洩的 API 金鑰包括數百個 Stripe、GitHub/GitLab 令牌、RSA 私鑰、OpenAI 金鑰、AWS 令牌、Twitch 秘密金鑰、加密貨幣交易所金鑰、X 令牌以及 Slack 和 Discord 網鉤。
GitGuardian 的《秘密擴散狀態(The State of Secret Sprawl)》報告顯示,僅在 2023 年就有 1千萬個 GitHub 中的秘密外洩案例,秘密擴散問題不僅限於 GitHub,而是影響軟體開發和運營的各個方面。
Escape 的網路爬蟲分析了實際使用情境下的應用程式,從 API 到前端,包括在後台運行的元素,如 JavaScript。這種方法顯示了 API 金鑰和令牌在現實世界中的暴露位置和方式,而不僅僅是在程式碼庫中。
為了減少風險,Escape 的研究人員提出了以下幾點建議:
- 集中管理令牌:通過集中管理令牌,可以確保安全的存儲、訪問和輪換。將所有令牌放在一個地方,可以全面監控它們的使用情況。
- 定期輪換令牌:經常更新令牌可以減輕潛在威脅的影響。像 AWS Secrets Manager 這樣的工具可以自動化輪換密鑰的過程。
- 將令牌分配給特定的團隊或服務:將每個令牌分配給需要它的指定團隊或服務。
- 制定撤銷策略:如果發生安全漏洞,實施一個簡單的撤銷令牌的流程。
- 分配適當的權限:將每個令牌的權限限制在必要的範圍內,減少損害的可能性。
- 限制令牌範圍:限制每個令牌在系統內的訪問範圍。
- 監控令牌使用模式:積極觀察令牌如何檢測異常或可疑活動。
- 培訓內部團隊:確保所有團隊成員都了解令牌安全的重要性,並始終遵循既定的最佳實踐。
本文轉載自helpnetsecurity.com。