上万名GitHub用户无意间泄露其AWS访问秘钥
如果你是使用GitHub的开发者,同时也是亚马逊AWS的用户,那么建议你检查公开的项目页面,删除其中无意间泄露的AWS访问秘钥。
如果你以程序方式访问AWS,你需要通过一个访问秘钥来验证你和你的应用的身份。这个访问秘钥包括一个秘钥ID和一个秘密访问秘钥,亚马逊在访问秘钥管理最佳实践文档中有详细解释。
如果任何人获得了你的访问秘钥,那么意味着他将取得你在AWS上的所有权限,因此保护好秘钥非常重要。
但是不少用户依然显得漫不经心,例如很多用户不小心将根访问秘钥上传到了GitHub这样的公共代码库中。渗透测试公司Threat Intelligence对GitHub进行了一次简单扫描后,发现差不多有1万名开发者无意间上传了AWS的访问秘钥。
据进行测试的安全专家介绍,渗透测试小组对这些被暴露于公共代码库中的秘钥进行了检测,发现都是可用的AWS访问秘钥。
在那些粗心大意的开发者中,甚至包括Securosis公司的首席执行官Rich Mogull,他也忘记从发布到GitHub的代码库中删除AWS访问秘钥,一位攻击者发现了这个秘钥并在AWS上消费了500美元。
其实GitHub今年早些时候的一项调查就发现了类似的问题,很多程序员都忘记从代码中删除密码和加密私钥。
目前GitHub已经更新了用户指南,呼吁从Git代码库中彻底移除敏感数据,而AWS也推荐用户创建使用AWS身份与访问管理服务,用户访问这些秘钥,而不是在根账号中创建秘钥。
关键词:
申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!
下一篇