開發(fā)人員泄漏松弛訪問令牌在GitHub,敏感的業(yè)務數(shù)據(jù),灰鴿子下載,遠程控制軟件

admin

開發(fā)人員泄漏松弛訪問令牌在GitHub,敏感的業(yè)務數(shù)據(jù),灰鴿子下載,遠程控制軟件
研究人員發(fā)現(xiàn)超過1500公共GitHub松弛為機器人和帳戶訪問令牌的項目
開發(fā)人員從數(shù)以百計的公司包括訪問令牌的松弛賬戶在GitHub的公共項目,把他們的團隊的內部聊天和其他數(shù)據(jù)的風險。
松弛已成為最受歡迎的協(xié)作和內部溝通工具使用的公司,因為它的多功能性。平臺的API允許用戶開發(fā)機器人,可以接收來自外部服務的命令或發(fā)布內容直接在松弛的渠道,使它容易自動化各種任務。
許多開發(fā)人員發(fā)布代碼的松弛機器人——其中一些小型的個人項目在GitHub上,但不能消除機器人的訪問令牌。
一些開發(fā)人員甚至包括私人標記與代碼中自己的賬戶。
這樣的令牌可以提供聊天、文件,私人信息等敏感數(shù)據(jù)共享在松弛團隊,這些開發(fā)人員或機器人成員。
網(wǎng)站安全公司Detectify研究人員發(fā)現(xiàn)了1500多在GitHub上松弛的令牌。
令牌提供的團隊從支付提供商,互聯(lián)網(wǎng)服務提供商,學校、廣告公司、報紙和衛(wèi)生保健提供者。
使用這些標記,研究人員獲得松弛團隊和發(fā)現(xiàn)數(shù)據(jù)庫憑證,敏感的私人信息,文件包含密碼和登錄到持續(xù)集成平臺和內部服務。
“我們也從里面的內部溝通松弛團隊得出結論,人們往往很草率和傳遞憑證一般來說,“Detectify的研究人員在一篇博客文章中說。
這已經(jīng)不是第一次敏感訪問令牌”項目托管在GitHub中暴露出來。
2014年,一位研究人員發(fā)現(xiàn)近10000對Amazon Web服務的訪問鍵和彈性計算云留下的開發(fā)者在GitHub上公開訪問代碼。
其他研究人員發(fā)現(xiàn)后端數(shù)據(jù)庫和服務的憑證硬編碼在成千上萬的手機應用程序,可以很容易地打開和檢查。
“從未提交憑證代碼內部,,“Detectify研究者說�！澳銘�該做的第一件事是創(chuàng)建環(huán)境變量在文件和忽略文件從代碼庫開始�！�
松弛允許球隊老板限制應用程序的創(chuàng)建和自定義集成只選擇成員,而不是全部。