10 millones de credenciales privadas fueron expuestas en repositorios de código abierto durante el 2022, según un informe publicado por la empresa de seguridad cibernética GitGuardian.
La exposición de estas credenciales supone un creciente riesgo para la seguridad de la cadena de suministro de software, y los investigadores advierten que estas credenciales no solo están disponibles públicamente, sino que pueden propagarse muy rápidamente.
Las credenciales son inquietantemente fáciles de encontrar para los ciberdelincuentes, y gran parte de la información está disponible públicamente.
Las cifras han ido creciendo en los últimos tres años, un fenómeno considerado como “expansión secreta” por el informe ‘The State of Secrets Sprawl 2023‘ de GitGuardian. Tal abundancia de credenciales de fácil acceso representa un riesgo real para la cadena de suministro de software global.
La presencia de hard-coded secrets en GitHub aumentó un 67% en 2022, en comparación con el año anterior.
Esto no solo facilita el acceso a las valiosas credenciales, sino que, dado que el código fuente se usa muchas veces durante el diseño de una pieza de software, las credenciales pueden propagarse muy rápidamente y deben eliminarse laboriosamente línea por línea.
“Los hard-coded secrets nunca han sido una amenaza más importante para la seguridad de las personas, las empresas e incluso los países de todo el mundo”, se lee en el informe. “Los sistemas de TI, el código abierto y las cadenas de suministro de software completas son vulnerables a la explotación de claves dejadas por error en el código fuente”, afirma.
Las credenciales están disponibles en los repositorios de GitHub de código abierto porque los desarrolladores las colocan allí para facilitar el proceso de diseño y se olvidan fácilmente una vez que se completa el software.
La expansión ocurre cuando otros desarrolladores copian y pegan este código fuente en sus propios proyectos.
Estas credenciales fácilmente disponibles representan un alto riesgo para cualquier empresa que se exponga de esta manera.
Los hackers informáticos están agilizando el proceso para encontrarlas y con las herramientas de escaneo que actualmente existen en el mercado, se puede automatizar el proceso de búsqueda.
Siempre que se encuentre un volcado de repositorio, se puede obtener una herramienta secundaria para comenzar a escanear, buscando ciertos tamaños de patrones y demás.
“Con las herramientas de escaneo que tiene actualmente en el mercado, puede automatizar ese proceso”
explica Bharat Mistry, director técnico para el Reino Unido e Irlanda de la empresa de seguridad Trend Micro.