کمیته رکن چهارم – هزاران کلید و رمز عبور محرمانه که در مخازن عمومی برنامهنویسی افشا شدهاند، حتی سالها پس از شناسایی، همچنان فعال و قابل سوءاستفاده باقی ماندهاند. این وضعیت باعث شده بسیاری از سازمانها با تهدیدات پنهان و بلندمدت در زیرساختهای خود مواجه باشند.
به گزارش کمیته رکن چهارم، در بررسی گستردهای که از مخازن گیتهاب بین سالهای ۲۰۲۲ تا ۲۰۲۴ انجام شده، مشخص شده که درصد زیادی از اعتبارنامههای درز کرده — بهویژه در حوزههایی مانند MongoDB، AWS و Google Cloud — همچنان معتبر هستند و به مهاجمان امکان دسترسی مستقیم به دادهها، زیرساخت و سیستمهای عملیاتی را میدهند.
علت این وضعیت، هم ناآگاهی امنیتی و هم کمبود فرآیندهای اصلاحی فوری در سازمانهاست. بسیاری از این کلیدها بهصورت سختکدیشده در کد باقی میمانند یا بهدلیل پیچیدگی سیستمها و نگرانی از اختلال در عملیات، بهموقع غیرفعال نمیشوند.
بررسیها نشان میدهد که خطر در مورد سامانههای عملیاتی زنده بسیار بالاست. برای مثال، در سالهای گذشته کلیدهایی که به پایگاه دادههای MySQL و PostgreSQL متصل بودهاند، بهطور گسترده در کدهای عمومی منتشر شدهاند.
همچنین، دادههای تحلیلی حاکی از آن است که نسبت کلیدهای معتبر فضای ابری از سال ۲۰۲۳ تا ۲۰۲۴ افزایش یافته، در حالی که استفاده از کلیدهای پایگاه داده کاهش یافته است — تغییری که بیانگر افزایش تمرکز حملات بر معماریهای ابری است.
کارشناسان راهکارهایی عملی برای کاهش این تهدیدات ارائه داده اند، از جمله:
-
چرخش فوری کلیدهای افشاشده و استفاده از رمزهای کوتاهمدت و پویا
-
پیادهسازی سیاستهای دسترسی حداقلی در Google Cloud و AWS
-
استفاده از ابزارهایی مانند IAM Access Analyzer و AWS CloudTrail برای پایش دسترسیها
-
اجتناب از رمزهای سختکدیشده در MongoDB و بهرهگیری از API چرخش رمز در CI/CD
در پایان، کارشناسان تأکید میکنند که مدیریت اسرار نباید واکنشی باشد، بلکه باید به فرآیندی منظم، خودکار و پیشگیرانه تبدیل شود تا سطح امنیتی واقعی در سازمانها محقق شود.
