開發(fā)人員泄漏松弛訪問令牌在GitHub,敏感的業(yè)務(wù)數(shù)據(jù),灰鴿子下載,遠(yuǎn)程控制軟件

admin

開發(fā)人員泄漏松弛訪問令牌在GitHub,敏感的業(yè)務(wù)數(shù)據(jù),灰鴿子下載,遠(yuǎn)程控制軟件
研究人員發(fā)現(xiàn)超過1500公共GitHub松弛為機(jī)器人和帳戶訪問令牌的項(xiàng)目
開發(fā)人員從數(shù)以百計(jì)的公司包括訪問令牌的松弛賬戶在GitHub的公共項(xiàng)目,把他們的團(tuán)隊(duì)的內(nèi)部聊天和其他數(shù)據(jù)的風(fēng)險(xiǎn)。
松弛已成為最受歡迎的協(xié)作和內(nèi)部溝通工具使用的公司,因?yàn)樗�的多功能性。平臺的API允許用戶開發(fā)機(jī)器人,可以接收來自外部服務(wù)的命令或發(fā)布內(nèi)容直接在松弛的渠道,使它容易自動(dòng)化各種任務(wù)。
許多開發(fā)人員發(fā)布代碼的松弛機(jī)器人——其中一些小型的個(gè)人項(xiàng)目在GitHub上,但不能消除機(jī)器人的訪問令牌。
一些開發(fā)人員甚至包括私人標(biāo)記與代碼中自己的賬戶。
這樣的令牌可以提供聊天、文件,私人信息等敏感數(shù)據(jù)共享在松弛團(tuán)隊(duì),這些開發(fā)人員或機(jī)器人成員。
網(wǎng)站安全公司Detectify研究人員發(fā)現(xiàn)了1500多在GitHub上松弛的令牌。
令牌提供的團(tuán)隊(duì)從支付提供商,互聯(lián)網(wǎng)服務(wù)提供商,學(xué)校、廣告公司、報(bào)紙和衛(wèi)生保健提供者。
使用這些標(biāo)記,研究人員獲得松弛團(tuán)隊(duì)和發(fā)現(xiàn)數(shù)據(jù)庫憑證,敏感的私人信息,文件包含密碼和登錄到持續(xù)集成平臺和內(nèi)部服務(wù)。
“我們也從里面的內(nèi)部溝通松弛團(tuán)隊(duì)得出結(jié)論,人們往往很草率和傳遞憑證一般來說,“Detectify的研究人員在一篇博客文章中說。
這已經(jīng)不是第一次敏感訪問令牌”項(xiàng)目托管在GitHub中暴露出來。
2014年,一位研究人員發(fā)現(xiàn)近10000對Amazon Web服務(wù)的訪問鍵和彈性計(jì)算云留下的開發(fā)者在GitHub上公開訪問代碼。
其他研究人員發(fā)現(xiàn)后端數(shù)據(jù)庫和服務(wù)的憑證硬編碼在成千上萬的手機(jī)應(yīng)用程序,可以很容易地打開和檢查。
“從未提交憑證代碼內(nèi)部,,“Detectify研究者說�！澳銘�(yīng)該做的第一件事是創(chuàng)建環(huán)境變量在文件和忽略文件從代碼庫開始。”
松弛允許球隊(duì)老板限制應(yīng)用程序的創(chuàng)建和自定義集成只選擇成員,而不是全部。