超 10 萬個 GitHub 倉庫可泄漏 API 令牌及密鑰

雷鋒網 3 月 24 日消息，北卡羅來納州立大學（NCSU）學者的一項研究表明，某些 GitHub 倉庫會泄漏 API 令牌和加密密鑰。研究人員分析了超過 10 億個 GitHub 文件，這些文件分布在數百萬個存儲庫中。

研究人員用 GitHub 搜索 API 捕獲並分析 681784 個庫的 4394476 個文件，另有 3374973 個庫的 2312763353 份文件記錄在 Google 的 BigQuery 資料庫中。研究人員在這些文件中尋找具有特定 API 令牌或加密密鑰格式的文本字元串，結果發現 575456 個 API 和加密密鑰，其中 201642 個是唯一的，所有這些密鑰分布在 100000 多個 GitHub 項目中，而且使用 Google Search API 找到的密鑰和通過 Google BigQuery 數據集找到的密鑰是幾乎沒有重疊。研究人員表示，他們跟蹤的 API 和加密密鑰中有 6％ 在泄漏後一小時內被刪除，超過 12％ 的密鑰在一天後被刪除，而 19％ 的密鑰暴露了 16 天。

消息來源：創意安天論壇

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！