每天成千上万新的 API 或加密密钥经过 GitHub 项目泄显露去。

六个月时期扫描 GitHub 公共代码库总数中 13% 的数十亿个文件后发现，超过 100000 个代码库泄露了 API 令牌和加密密钥，每天数千个新的代码库在泄露新的秘密内容。

这次扫描是北卡罗来纳州立大学（NCSU）的团队展开的一项学术研讨的课题，研讨结果已交给 GitHub，GitHub 看到调查结果后采取了举动，加快开发一项名为令牌扫描（Token Scanning）的新安全功用，目前该功用处于测试阶段。

研讨人员扫描了数十亿个 GitHub 文件

NCSU 的这项研讨是迄今为止对 GitHub 最片面和最深化的扫描，超过之前的任何同类研讨。

2017 年 10 月 31 日至 2018 年 4 月 20 日，NCSU 的研讨人员扫描了多个 GitHub 帐户，扫描时间继续近六个月，寻觅 API 令牌和加密密钥等格式的文本字符串。

他们不只运用 GitHub Search API 来寻觅这些文本形式，就像之前的其他研讨任务一样，还查看了谷歌的 BigQuery 数据库中记载的 GitHub 代码库快照。

在这六个月时期，研讨人员剖析了有数 GitHub 代码库当中的数十亿个文件。

在上个月宣布的一篇研讨论文中，NCSU 的三人团队表示，他们运用 GitHub Search API 获取并剖析了代表 681784 个代码库的 4394476 个文件，以及代表谷歌的 BigQuery 数据库中记载的 3374973 个代码库的另外 2312763353 个文件。

NCSU 团队扫描了 11 家公司的 API 令牌

研讨人员在这庞大的文件堆中寻觅采用特定的 API 令牌或加密密钥格式的文本字符串。

由于并非一切的 API 令牌和加密密钥都采用异样的格式，因此 NCSU 团队决议运用 15 种 API 令牌格式（来自属于 11 家公司的 15 项效劳，其中 5 家来自 Alexa Top 50）和 4 种加密密钥格式。

这包括谷歌、亚马逊、Twitter、Facebook、Mailchimp、MailGun、Stripe、Twilio、Square、Braintree 和 Picatic 运用的 API 密钥格式。

许多盛行 API 的密钥有着共同的结构，一旦泄密，将招致安全风险。

结果立马出来了，研讨项目发现每天数千个 API 和加密密钥泄显露去。

总的来说，NCSU 团队表示他们发现了 575456 个 API 和加密密钥，其中 201642 个具有共同性，它们都散布于 100000 多个 GitHub 项目中。

兼并数据集中的秘密内容绝大少数被单一一切者运用。

研讨团队在学术论文中披露，运用谷歌 Search API 找到的“秘密内容”和经过谷歌 BigQuery 数据集发现的“秘密内容”也很少有堆叠。

研讨人员说：“兼并两个数据集后，我们确定这两个数据集中出现了 7044 个秘密内容，占总数的 3.49%。这表明我们的办法在很大水平上是互补的。”

此外，大少数 API 令牌和加密密钥（93.58%）来自单一一切者帐户，而不是多个一切者代码库。

这意味着 NCSU 团队发现的绝大少数 API 和加密密钥很能够是实践环境中运用的有效令牌和密钥，由于多个一切者的帐户通常往往包含用于共享测试环境和开发阶段代码的测试令牌。

泄露的 API 和加密密钥停留数周

由于研讨项目是在六个月的时期内停止，研讨人员还无时机察看帐户一切者能否以及何时看法到本人泄露了 API 和加密密钥，并从代码中删除敏感数据。

该团队表示，他们跟踪的 API 和加密密钥中有6% 在泄露后一小时内被删除，这表明这些 GitHub 一切者立马看法到了所犯的错误。

超过 12% 的密钥和令牌一天后消逝，而 19% 的密钥和令牌最多停留了 16 天。

研讨人员说：“这也意味着我们发现的秘密内容中 81% 没有被删除。这 81% 秘密内容的开发人员很能够不知道秘密内容被泄露，或许低估了泄露的风险。”

短期和长期监测秘密内容

研讨团队发现了一些严重泄露

研讨人员末尾研讨其中一些内容是从何处泄露时，这种扫描的重要性显显露来。

NCSU 团队说：“有一次，我们发现了我们以为是美国数百万大学央求者所依赖的一大网站的 AWS 登录信息，能够是由承包商泄露的。”

“我们还找到了一个西欧国度的主要政府机构的网站的 AWS 登录信息。在这种状况下，我们可以证明该帐户的有效性，甚至证明提交秘密内容的特定开发商。该开发商在网上宣称拥有近 10 年的开发阅历。”

在另一个案例中，研讨人员还发现了 564 个谷歌 API 密钥，这些密钥被一家在线网站用来规避 YouTube 的速率限制，并下载以后托管在另一个视频共享门户网站上的 YouTube 视频。

NCSU 的研讨人员说：“由于密钥数量十分多，我们疑心（但无法确认）这些密钥能够是以欺诈手腕取得的。”

最后但并非最不重要的是，研讨人员还在 OpenVPN 配置文件中发现了 7280 个 RSA 密钥。研讨人员发现，经过火析这些配置文件中的其他设置，绝大少数用户禁用了密码身份验证，完全依赖 RSA 密钥停止身份验证，这意味着凡是发现这些密钥的人都可以拜访成千上万的私密网络。

研讨人员运用其他 API 令牌扫描工具剖析他们本人的数据集以确定扫描系统的效率时，扫描结果的高质量也显露无遗。

研讨团队说：“我们的研讨结果表明，TruffleHog 在检测秘密内容基本上有效，由于它的算法只检测到我们的 Search 数据集中 25.236% 的秘密内容和 BigQuery 数据集中 29.39% 的秘密内容。”

GitHub 得知后忙于补救

北卡罗来纳州立大学计算机迷信系助理教授 Brad Reaves 明天接受 ZDNet 的采访时表示，他们在 2018 年将这项研讨的结果告知了 GitHub。

Reaves 说：“我们与 GitHub 讨论了却果。对方启动了一个外部项目，简直就在我们完成研讨的同时，检测并告知开发人员泄露的秘密内容。该项目于 2018 年 10 月地下供认。”

“我们被告知 GitHub 在监测研讨文档中列出的秘密内容之外的更多秘密内容，但我们没有取得进一步的细节。”

Reaves 补充道：“由于这种类型的泄露很普遍，我们很难通知一切受影响的开发人员。我们面临的诸多应战之一就是，我们基本无法取得大批 GitHub 开发人员的安全联络信息。”

“在我们的论文宣布时，我们试图与 GitHub 协作以通知开发人员，但思索到我们的令牌扫描与 GitHub 的有堆叠，他们觉得没必要另外通知。”

API 密钥泄露是已知成绩

(责任编辑：admin)