کمیته رکن چهارم– در حالیکه تهدیدهایی مانند فیشینگ و باجافزار در مرکز توجه قرار دارند، افشای اطلاعات حساس در مخازن Git به تهدیدی خاموش اما جدی تبدیل شده که زیرساخت بسیاری از سازمانها را در معرض خطر قرار داده است. خطاهای انسانی، تنظیمات نادرست و سرعت توسعه باعث میشود توکنها، کلیدهای API و گذرواژهها ناخواسته در کد باقی بمانند.
به گزارش کمیته رکن چهارم، تنها در سال ۲۰۲۴ بیش از ۳۹ میلیون اطلاعات حساس (مانند کلیدهای دسترسی و توکنها) در GitHub افشا شده است؛ رقمی که نسبت به سال پیش ۶۷ درصد افزایش داشته است. این افشاها اغلب از حسابهای شخصی، پروژههای رها شده یا مخازن پیکربندینشده ناشی میشوند و مهاجمان از آنها برای دسترسی اولیه به فضای ابری، پایگاه داده و سرویسهای SaaS استفاده میکنند.
ابزارهای عمومی مانند Gitleaks و git-secrets یافتن این نوع دادههای حساس را برای مهاجمان آسان کردهاند. افراد نفوذگر پس از دسترسی اولیه، با بهرهگیری از مجوزهای نادرست و ایجاد مسیرهای پنهان، به اطلاعات کلیدی سازمان دسترسی پیدا میکنند و در بسیاری موارد از شناسایی توسط سامانههای امنیتی متداول نیز مصون میمانند.
کارشناسان توصیه میکنند سازمانها از ابزارهای مدیریت اطلاعات محرمانه مانند AWS Secrets Manager و HashiCorp Vault استفاده کرده، فایلهای حساس را در gitignore تعریف و دسترسیها را بر پایه اصل حداقل مجوز تنظیم کنند. فعالسازی MFA، بررسی دورهای مجوزها و اسکن مداوم مخازن از جمله اقدامات کلیدی در برابر این تهدید روبهرشد است.
