上万名GitHub用户无意间泄露其AWS访问秘钥
作者: 日期:2014年03月25日 阅:3,234

Digital key

如果你是使用GitHub的开发者,同时也是亚马逊AWS的用户,那么建议你检查公开的项目页面,删除其中无意间泄露的AWS访问秘钥。

如果你以程序方式访问AWS,你需要通过一个访问秘钥来验证你和你的应用的身份。这个访问秘钥包括一个秘钥ID和一个秘密访问秘钥,亚马逊在访问秘钥管理最佳实践文档中有详细解释

如果任何人获得了你的访问秘钥,那么意味着他将取得你在AWS上的所有权限,因此保护好秘钥非常重要。

但是不少用户依然显得漫不经心,例如很多用户不小心将根访问秘钥上传到了GitHub这样的公共代码库中。渗透测试公司Threat Intelligence对GitHub进行了一次简单扫描后,发现差不多有1万名开发者无意间上传了AWS的访问秘钥。

据进行测试的安全专家介绍,渗透测试小组对这些被暴露于公共代码库中的秘钥进行了检测,发现都是可用的AWS访问秘钥。

在那些粗心大意的开发者中,甚至包括Securosis公司的首席执行官Rich Mogull,他也忘记从发布到GitHub的代码库中删除AWS访问秘钥,一位攻击者发现了这个秘钥并在AWS上消费了500美元。

其实GitHub今年早些时候的一项调查就发现了类似的问题,很多程序员都忘记从代码中删除密码和加密私钥。

目前GitHub已经更新了用户指南,呼吁从Git代码库中彻底移除敏感数据,而AWS也推荐用户创建使用AWS身份与访问管理服务,用户访问这些秘钥,而不是在根账号中创建秘钥。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章