在过去几周 我们在博客上分享某些 新闻 众所周知的 关于黑客案例 a Nvidia公司 黑客组织 Lapsus$ 和三星,他还设法访问了育碧的信息。
而且是最近 GitGuardian 扫描三星的源代码以获取信息 机密,例如密钥(API 密钥、证书),并发现其中 6695 个。 这个结果是在使用 350 多个单独的检测器的分析中获得的,每个检测器都在寻找一种密钥的特定特征,从而提供非常精确的结果。
在这次搜索中,研究人员 GitGuardian 排除结果 来自通用高熵检测器和通用密码检测器,因为它们通常会包含误报,因此会产生夸大的结果。 考虑到这一点,密钥的实际数量可能要高得多。
不熟悉 GitGuardian 的你应该知道,这是一家由 Jérémy Thomas 和 Eric Fourrier 于 2017 年创立的公司,曾获得 2021 FIC Start-up Award,是 FT120 的成员。
该公司已将自己确立为检测密钥的专家,并将其研发工作重点放在符合围绕 AppSec 实施的责任共担模型的解决方案上,同时考虑到开发人员的经验。
正如我们在结果摘要中看到的,前 90 个结果代表了 XNUMX% 的发现,虽然它是非常敏感的信息,但攻击者可能更难以使用它,因为它可能涉及内部系统。
埃斯托 仅留下 600 多个秘密身份验证密钥 提供对攻击者可以用来横向渗透其他系统的各种不同服务和系统的访问。
» 在三星源代码中发现的 6600 多个密钥中,大约 90% 用于三星内部服务和基础设施,而剩下的关键 10% 可以提供对三星外部服务或工具的访问,例如 AWS、GitHub、工件、和谷歌,”GitGuardian 的开发者倡导者 Mackenzie Jackson 解释道。
GitGuardian 最近的一份报告显示,在一个平均拥有 400 名开发人员的组织中,在内部源代码存储库中发现了 1000 多个密钥(Source State of Secrets Sprawl 2022)。
如果此类密钥泄露,可能会影响三星的能力 安全地更新手机,让对手访问敏感的客户信息,或者让他们访问三星的内部基础设施,并能够发起其他攻击。
麦肯齐杰克逊补充道:
这些攻击暴露了一个问题,许多安全行业的人已经发出警告:内部源代码包含越来越多的敏感数据,但仍然是一种高度不可靠的资产。 源代码可供整个公司的开发人员广泛使用,备份在不同的服务器上,存储在开发人员的本地机器上,甚至通过内部文档或电子邮件服务共享。 这使它们成为对手非常有吸引力的目标,因此我们看到这些攻击的频率持续存在。”
在 Lapsus$ Telegram 频道中,我们将能够看到黑客组织如何通过向大型组织的员工发送本质上是调用以显示他们的访问权限来获得对这些存储库的访问权限。
不幸的是,我们还没有看到这样的攻击,该小组现在正在分享民意调查,再次通过他们的电报频道,询问他们的听众他们接下来应该泄露什么源代码,这表明可能会有更多的泄露。将来。
最后 如果您有兴趣了解更多信息, 您可以查看详细信息 在下面的链接中。