Claves de acceso de la empresa, utilizadas por desarrolladores para autenticarse en otros sistemas, con demasiada frecuencia quedan expuestos al público durante el proceso de desarrollo de software, lo que pone los datos de la empresa en riesgo de verse comprometidos por actores malintencionados que buscan un fácil acceso a los sistemas empresariales.
Eso es de acuerdo con los nuevos datos recopilados por Sombras digitales, que rastreó más de 150 millones de entidades de GitHub, GitLab y Pastebin en un período de 30 días, y evaluó y categorizó cerca de 800.000 claves de acceso y secretos.
Dijo que más del 40% de estas claves habrían otorgado acceso a las tiendas de bases de datos, el 38% a los entornos en la nube, incluidos AWS, Google Cloud y Microsoft Azure, y el 11% a los servicios en línea, incluidas las plataformas de colaboración como Slack y los sistemas de pago.
“A medida que el desarrollo de software se ha distribuido cada vez más entre equipos internos y subcontratados, se ha convertido en un desafío monitorear la exposición de información confidencial”, dijo Russell Bentley, vicepresidente de producto de Digital Shadows.
“Todos los días, información técnica como claves y secretos se expone en línea a plataformas de colaboración de código. Normalmente, esto es accidental, pero hemos visto evidencia de que los actores de amenazas están rastreando los repositorios públicos y buscando usarlos para acceder a datos confidenciales e infiltrarse en organizaciones.
“La mayoría de los servicios que hemos identificado son seguros por diseño pero, como siempre, los humanos son el eslabón débil de la cadena y con frecuencia hacen pública la información cuando debería ser privada”.
Bentley dijo que el impacto de las claves de base de datos expuestas fue «particularmente profundo», ofreciendo a los actores malintencionados acceso no autorizado a datos corporativos e información de identificación personal (PII) con permisos para exponerlos, destruirlos o manipularlos. Las credenciales para Redis, MySQL y MongoDB fueron las más comúnmente expuestas, dijo.
Si un actor no autorizado se autenticara con éxito en el entorno de nube de un objetivo, el impacto podría ser igualmente severo, dándole nuevamente la capacidad de exponer, destruir o manipular datos confidenciales. En lo que respecta a los proveedores de nube pública, Digital Shadows dijo que los entornos de Google Cloud eran los más propensos a tener claves expuestas, seguidas de los tokens de Microsoft Azure y SAS.
Señaló que a pesar de AWS siendo el líder del mercado, las claves expuestas para sus servicios constituían una proporción mucho menor del total.
En términos de servicios en línea, como Slack, los actores malintencionados podrían usar claves comprometidas para publicar mensajes de phishing directamente en los canales de sus víctimas, obtener acceso a información confidencial que se transmite en las conversaciones y acceder a los espacios de trabajo de Slack. Las claves comprometidas para los servicios de pago, como las claves API de Stripe, también tendrían consecuencias previsiblemente nefastas.
Digital Shadows dijo que los usuarios podrían tomar una serie de cursos de acción, como usar herramientas como Trufflehog para buscar en los repositorios de git secretos cometidos accidentalmente, o GitRob, que puede ser útil para encontrar archivos confidenciales enviados a repositorios públicos en GitHub.
El escaneo secreto de GitHub también puede proporcionar monitoreo para muchos de los tipos de claves expuestos con mayor frecuencia observados por Digital Shadows, aunque no siempre se extiende a los almacenes de bases de datos.