Пользователи GitHub непреднамеренно раскрывают свои ключи доступа к AWS

25.03.2014 | 11:37
Разработчики GitHub, являющиеся по совместительству пользователями Amazon Web Services (AWS), получили рекомендацию проверить обнародованный ими на своих страницах код и удалить оттуда секретные ключи доступа для учетной записи AWS, которые могли случайно туда попасть.

«При получении доступа к AWS программным путем проверка подлинности пользователя и приложений происходит с помощью ключа доступа. Этот ключ состоит из access key ID (что-то вроде AKIAIOSFODNN7EXAMPLE), а также секретного ключа доступа (что-то вроде wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY), - инструктируют в Amazon. - Любой, кто знает ключ доступа, способен получить тот же уровень доступа к AWS-ресурсам пользователя, что и владелец этого ключа».

В компании также отметили, что случаи, когда клиенты компании случайно публикуют свои ключи корневого доступа к репозиториям вовсе не редки, в связи с чем их стоит либо удалить, либо вовсе не создавать, если в этом нет необходимости.

Это также подтвердил исследователь безопасности Тай Миллер (Ty Miller), глава компании Threat Intelligence, специализирующейся на проведении тестов на проникновение.

По его словам, найти эти ключи довольно просто и сделать это позволяет имеющийся на GitHub функционал поиска. Так, в настоящий момент на сайте доступные порядка 10 тысяч таких ключей.
GitHub, ключ доступа, AWS, исследование
По материалам securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код