מפתחות הצפנה נמצאו חשופים בגיט
עמי רוחקס דומבה
| 25/03/2019
https://github.com/
חוקרים גילו כי אחד ממאגרי קוד המקור הפופולאריים ביותר בעולם עדיין מכיל אלפי מפתחות הצפנה פומביים. למעלה מ -100,000 מאגרי קוד באתר ניהול קוד המקור GitHub מכילים מפתחות גישה סודיים שיכולים להעניק לתוקפים גישה מועדפת לאותם מאגרים (repos) או לשירותי ספקי שירותים מקוונים. חוקרים מאוניברסיטת צפון קרוליינה (NCSU) סרקו כמעט 13 אחוזים מהמאגרים הציבוריים של GitHub במשך קרוב לששה חודשים וחשפו את הממצאים בנייר שכתבו.
האישורים שהמפתחים מפרסמים באופן שגרתי בGitHub repos נופלים לתוך מספר קטגוריות. אלה כוללים מפתחות SSH, שהם אישורים דיגיטליים לפתיחת משאבים מקוונים. מפתחות לממשק תכנות יישומים (APIהידוע גם אסימונים. אלה הם מפתחות דיגיטליים המאפשרים למפתחים לגשת לשירותים מקוונים, החל בטוויטר ועד לחיפוש Google ישירות מהתוכניות שלהם. החוקרים מצאו גם תערובת של מפתחות אלה עבור השירותים, כולל גוגל, טוויטר, אמזון שירותי אינטרנט, פייסבוק, MailChimp, שירות טלפוניה מקוונת Twilio, חברות עיבוד כרטיסי אשראי ועוד.
מקור: nakedsecurity.sophos.com
https://github.com/
חוקרים גילו כי אחד ממאגרי קוד המקור הפופולאריים ביותר בעולם עדיין מכיל אלפי מפתחות הצפנה פומביים. למעלה מ -100,000 מאגרי קוד באתר ניהול קוד המקור GitHub מכילים מפתחות גישה סודיים שיכולים להעניק לתוקפים גישה מועדפת לאותם מאגרים (repos) או לשירותי ספקי שירותים מקוונים. חוקרים מאוניברסיטת צפון קרוליינה (NCSU) סרקו כמעט 13 אחוזים מהמאגרים הציבוריים של GitHub במשך קרוב לששה חודשים וחשפו את הממצאים בנייר שכתבו.
האישורים שהמפתחים מפרסמים באופן שגרתי בGitHub repos נופלים לתוך מספר קטגוריות. אלה כוללים מפתחות SSH, שהם אישורים דיגיטליים לפתיחת משאבים מקוונים. מפתחות לממשק תכנות יישומים (APIהידוע גם אסימונים. אלה הם מפתחות דיגיטליים המאפשרים למפתחים לגשת לשירותים מקוונים, החל בטוויטר ועד לחיפוש Google ישירות מהתוכניות שלהם. החוקרים מצאו גם תערובת של מפתחות אלה עבור השירותים, כולל גוגל, טוויטר, אמזון שירותי אינטרנט, פייסבוק, MailChimp, שירות טלפוניה מקוונת Twilio, חברות עיבוד כרטיסי אשראי ועוד.
מקור: nakedsecurity.sophos.com
