В 2024 году GitHub выявил 39 млн утечек ключей и паролей в репозиториях

03.04.2025 11:56

Компания GitHub опубликовала статистику о выявленных в 2024 году утечках конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. За год было выявлено более 39 миллионов случаев подобных утечек. GitHub также представил несколько новых инициатив для усиления защиты от утечек: сервисы "Secret Protection" и "Code Security" теперь доступны в виде отдельных продуктов; для организаций GitHub Team реализованы расширенные инструменты проверки безопасности; обеспечено бесплатное сканирование утечек в проектах организаций.

Как правило, конфиденциальные данные оставляют в коде по недосмотру. Например, в репозиторий попадают файлы конфигурации с паролями к СУБД, а также прописанные в коде токены или ключи доступа к API, которые часто добавляют в процессе тестирования, но забывают удалить перед сохранением изменений в Git или не учитывают, что они могут остаться в сопутствующих файлах с ресурсами (например, могут остаться в предкомпилированном файле с байткодом, несмотря на удаление в исходном коде).

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63013-github

Ключевые слова: github

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Аноним (1), 12:13, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Так задумано, какой ещё недосмотр для публичного репозитория.

1.4, Аноним (4), 13:07, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Разрабы что, про gitignore вообще слыхать не слыхивали?

2.5, sotlef (ok), 13:24, 03/04/2025 [^] [^^] [^^^] [ответить]	+2 +/–
github это не только для разрабов, там куча студентов сохраняют результаты своих лабораторок, кто-то использует его как файлопомойку. Я к тому, что контингент там разный со всего мира и уровень их квалификации сомнительный.

2.6, Аноним (6), 13:39, 03/04/2025 [^] [^^] [^^^] [ответить]	+3 +/–
не поможет. Обычно пишут API ключ во время тестирования прямо в код и потом выносят его в .ENV а в истории он все равно сохраняется.

1.7, Соль земли (?), 13:42, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Странно, я вроде 40 млн выкладывал.

1.8, Аноним (8), 13:50, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Зачем хранить ключи, пароли и токены в репозитории? Что такая проблема подтянуть все из внешней директории?

2.29, нах. (?), 23:04, 03/04/2025 [^] [^^] [^^^] [ответить]	+/–
Оно само!

2.31, Аноним (-), 23:31, 03/04/2025 [^] [^^] [^^^] [ответить]	+/–
Чтобы прога могла стартануть без корректного config.ini - придётся задать какие-то дефолты прямо в коде. Или чтобы тесты нормально отработали. Это правда должен быть не access_token и не пароль от "боевого" сервера СУБД.

3.38, Аноним (38), 07:17, 04/04/2025 [^] [^^] [^^^] [ответить]	+/–
> Чтобы прога могла стартануть без корректного config.ini Единственное, что должна сделать прога без корректного конфига, - выругаться на конфиг и выйти.

1.9, Ося Бендер (?), 13:52, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Билли со Стивом денежку захотели. Поиздержались наверно. Типо "заботятся", бесплатно чего-то там сканируют. Ага, знаем, плавали. Потом будут бабосики стричь. Бузинес, ничего лишнего.

2.35, Дмитрий (??), 05:15, 04/04/2025 [^] [^^] [^^^] [ответить]	+/–
Это любой может сканировать у них даже api есть. У нас в криптопроекте бабло как то украли. Случайно закомитили приватный кюч, прошло всего 15 мин и деньги уткли.

1.10, Аноним (10), 13:53, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Они извещают, тех кто оставил персональную информацию или просто для АНБ стараются. Смысл траты электричества какой? Ну не для того же, чтобы раз в год блеснуть.

1.12, Аноним (12), 13:56, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Что лишний раз подтверждает, что гитхаб - это прежде всего хостинг хеловордов от гордых Васянов. Гитхабу надо сделать таксу рублей так 5 в месяц, чтобы отсеить хеловортщиков, и чтобы остались денежные клиенты, чтобы халявщики не спамили попусту туда пароли. Вот так то.

2.25, blkkid (?), 22:12, 03/04/2025 [^] [^^] [^^^] [ответить]	+/–
у анонимов кроме "запретить" и "на мороз выкинуть" хоть какие-то решения ещё бывают?

3.33, Аноним (33), 02:51, 04/04/2025 [^] [^^] [^^^] [ответить]	+/–
сразу видно, что мороза ты не видел

2.36, Дмитрий (??), 05:18, 04/04/2025 [^] [^^] [^^^] [ответить]	+/–
Ага, научи микрософт как им вести бизнес ))))

1.15, Аноним (15), 15:20, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А всё почему? Потому что в каждой второй статье для начинающих по гиту пишут такое: git add . git commit -m "message" Руки отрывать тому кто так учит начинающих. Учите их пользоваться нормальными UI утилитами, в которых видно что и куда ты коммитаешь.

2.16, Ося Бендер (?), 15:27, 03/04/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Ага, а откуда потом хакиры будут пароли ко всяким базам брать? Все правильно учат.

2.37, Василий (??), 06:42, 04/04/2025 [^] [^^] [^^^] [ответить]	+/–
'git add -p bd-connectilor.petuhon' - добавить изменения по частям 'git diff --cached' - посмотреть дифф перед коммитом 'git reset --soft commit_before_wip_changes_sha && git commit ...' - удалить неудачные попытки из истории и закоммитить конечный результат перед пушем 'git rebase --interactive commit_before_fuckup_sha && git commit --amend file-w-fuckup && git rebase --continue' - изменить коммит в истории Ну и 'git show' - посмотреть что ты там поменял в последнем коммите Не знаю гуёв, которые могут больше, чем эти команды. Лучше сразу приучать консолью пользоваться

1.18, Аноним (18), 16:59, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
В комментариях все такие молодцы, никогда не допускают ошибок, не хелловторщики ж какие-то! Даже завидно немного. Сам-то я хоть и админил 20+ лет, а бывало, что и бесконечный цикл писал, и лимит рекурсии исчерпывал, и токены по запаре бывало тоже коммитил, и даже прод ронял в пятницу вечером. То ли я бракованный у папы с мамой вышел, то ли прав был мой дед, когда говорил что ошибок не бывает только у тех, кто ничего не делает.

2.19, Аноним (19), 18:20, 03/04/2025 [^] [^^] [^^^] [ответить]

–1 +/–

> то ли прав был мой дед

то ли вы занимались вовсе не тем делом, куда админить, и куда - "бесконечный цикл писал, и лимит рекурсии исчерпывал".

> То ли я бракованный

девжопс одним словом.

3.20, Аноним (20), 19:29, 03/04/2025 [^] [^^] [^^^] [ответить]

+/–

> то ли вы занимались вовсе не тем делом

Ну если бы он ток админил, тогда прод ронял был.
Если бы программировал - "бесконечный цикл писал, и лимит рекурсии исчерпывал".

И т.д.

4.32, Аноним (18), 02:38, 04/04/2025 [^] [^^] [^^^] [ответить]	+/–
Эникеям и админам локалхостов невдомёк почему на позиции сисадминов нужны только те, кто умеет программировать и может кодить хотя бы на паре языков, в довесок ко всему остальному стэку технологий. Ну что ж, картриджи тоже надо кому-то трясти.

5.34, Аноним (19), 03:36, 04/04/2025 Скрыто ботом-модератором [к модератору]	+/–

1.26, Аноним (26), 22:36, 03/04/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> файлы конфигурации с паролями к СУБД

Это мой пароль SYSDBA/masterkey?

> а также прописанные в коде токены или ключи доступа к API

Ну апупеть просто... многие из этих ключей/токенов часто и не являются секретными и всё равно придётся их включить в исполняемый файл/на страницу и т.д.
Нужен был api-key от google-maps и первая попавшаяся страница с картой проезда в ООО "Рога И Копыта" спасла от необходимости регить ненужный сервис ради трёх запросов.

Хоть сотня чего-нибудь вменяемого в 39 миллионах найдётся?

2.27, Аноним (1), 22:44, 03/04/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Придётся проверить все 39 миллионов. Уверен, ты справишься, ради таких-то сокровищ! Не забудь написать когда пройдёшь первые 20 миллионов.

3.28, Аноним (26), 22:46, 03/04/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> Уверен, ты справишься Уверен, что там даже и не утечка секретных данных. Перечитай на что отвечал...

4.30, нах. (?), 23:08, 03/04/2025 [^] [^^] [^^^] [ответить]	+/–
Не, ну токены для доступа к ентер-прайсному документообороту это вот как ты думаешь - секретное данное или погулять вышло? А оно - вотъ!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: