HackerNews 编译，转载请注明出处： 检测泄露的凭证只是战斗的一半。真正的挑战——往往被忽视的另一半——在于检测后的处理。GitGuardian《2025年机密泛滥现状报告》的新研究揭示了一个令人不安的趋势：在公共代码库中发现的大多数暴露的企业机密，在被检测后仍保持有效数年之久，这导致攻击面持续扩大，而许多组织未能有效应对。 根据GitGuardian对GitHub公共代码库中暴露机密的分析，早在2022年检测到的凭证中，仍有惊人的比例至今有效： “检测到泄露的机密只是第一步，”GitGuardian研究团队表示，“真正的挑战在于快速修复。” 这种持续有效性暗示着两个令人担忧的可能性：要么组织未意识到其凭证已暴露（安全可见性问题），要么缺乏资源、流程或紧迫性来妥善修复（安全运维问题）。在这两种情况下，一个值得关注的观察结果是，这些机密甚至未被例行撤销——既没有通过默认过期自动失效，也未在定期轮换流程中手动处理。 组织要么对暴露的凭证毫不知情，要么缺乏资源有效应对。硬编码机密在代码库中泛滥，使得全面修复变得困难。凭证轮换需要跨服务和系统协调更新，通常会影响生产环境。 资源限制迫使组织仅优先处理最高风险的暴露，而遗留系统因不支持临时凭证等现代方法造成技术障碍。可见性有限、操作复杂性和技术限制的结合，解释了为何硬编码机密在暴露后仍长期有效。转向采用集中化自动化系统和短期凭证的现代机密安全方案，已成为运营必需，而不仅仅是安全最佳实践。 在原始数据背后隐藏着一个令人不安的现实：由于凭证在公共代码库中持续存在多年，关键生产系统仍然脆弱。 对2022-2024年暴露机密的分析表明，数据库凭证、云密钥和关键服务的API令牌在首次暴露后仍长期有效。这些并非测试或开发凭证，而是通往生产环境的真实密钥，为攻击者访问敏感客户数据、基础设施和关键业务系统提供了直接通道。 仍暴露的敏感服务（2022–2024） MongoDB：攻击者可利用这些凭证窃取或破坏数据。这些高度敏感的凭证可能让攻击者获取个人身份信息，或用于提权和横向移动的技术洞察。 谷歌云、AWS、腾讯云：这些云密钥可能让攻击者访问基础设施、代码和客户数据。 MySQL/PostgreSQL：这些数据库凭证每年也持续出现在公开代码中。 这些都不是测试凭证，而是真实服务的密钥。 过去三年间，公共代码库中暴露机密的格局变化既显示出进步，也揭示了新风险，尤其是云和数据库凭证方面。需再次强调，这些趋势仅反映已被发现且仍然有效的案例——意味着尽管已被公开暴露，它们仍未被修复或撤销。 对于云凭证，数据显示出明显的上升趋势。2023年，有效云凭证占所有仍活跃的暴露机密比例略低于10%。到2024年，该比例激增至近16%。这一增长可能反映了企业环境中云基础设施和SaaS采用率的提升，但也凸显出许多组织在安全管理云访问方面持续面临的挑战——尤其是随着开发速度和复杂性的增加。 相比之下，数据库凭证暴露呈相反走势。2023年，有效数据库凭证占检测到的未修复机密超13%，但到2024年该数字降至不足7%。这一下降可能表明，针对数据库凭证的认知和修复工作——特别是高调数据泄露事件后及托管数据库服务使用增加——正在产生效果。 总体结论是微妙的：尽管组织可能在保护传统数据库机密方面有所进步，但有效且未修复的云凭证暴露的快速上升表明，新型机密正在成为最普遍和高风险的存在。随着云原生架构成为常态，对自动化机密管理、短期凭证和快速修复的需求比以往任何时候都更加紧迫。 高风险凭证的实用修复策略 MongoDB凭证 为降低暴露的MongoDB凭证带来的风险，组织应迅速轮换任何可能泄露的凭证，并设置IP白名单严格限制数据库访问。启用审计日志对实时检测可疑活动和协助事件调查也至关重要。长期来看，应通过动态凭证摆脱硬编码密码。如果使用MongoDB Atlas，可通过API编程实现密码轮换，使CI/CD流水线能够定期轮换机密，即使未检测到暴露。 谷歌云密钥 如果发现谷歌云密钥暴露，最安全的措施是立即撤销。为防范未来风险，应从静态服务账户密钥转向现代短期认证方法：对外部工作负载使用“工作负载身份联盟”，将服务账户直接绑定至谷歌云资源，或在需要用户访问时实施服务账户模拟。强制执行定期密钥轮换，并对所有服务账户实施最小权限原则，以降低任何暴露的潜在影响。 AWS IAM凭证 对于AWS IAM凭证，若怀疑暴露必须立即轮换。最佳的长期防御是完全弃用长期用户访问密钥，选择通过IAM角色和AWS STS为工作负载提供临时凭证。对于AWS外部的系统，利用“IAM Roles Anywhere”。使用AWS IAM访问分析器定期审计访问策略，并启用AWS CloudTrail进行全面日志记录，以便快速发现和响应可疑的凭证使用行为。 通过采用这些现代机密管理实践——聚焦短期动态凭证和自动化——组织能显著降低暴露机密带来的风险，并使修复成为可管理的常规流程，而非紧急救火行动。机密管理器集成也能帮助自动完成此类任务。 暴露机密的持续有效性代表着重大且常被忽视的安全风险。尽管检测至关重要，但组织必须优先考虑快速修复，并转向能够最小化凭证暴露影响的架构。 正如数据所示，问题正在恶化而非改善——更多机密在暴露后长期保持有效。通过实施适当的机密管理实践并弃用长期凭证，组织能显著减少攻击面，缓解不可避免的暴露事件的影响。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Flare  与 BleepingComputer 分享的一份报告显示，在对暗网和 Telegram 渠道上出售的近 2000 万条泄密数据日志进行分析后，发现信息窃取恶意软件已实现了对商业环境的严重渗透。 信息窃取程序是一种恶意软件，可窃取存储在 Web 浏览器、电子邮件客户端、即时消息、加密货币钱包、FTP 客户端和游戏服务等应用程序中的数据。被盗信息被打包到称为“日志”的档案中，然后将其上传回攻击者用于下一步攻击或在网络犯罪市场上出售。 报告发现，有37.5万 个日志包含对几个主流业务应用程序的访问权限，包括： 17.9万 个 AWS 控制台凭证 2300 个 Google Cloud 凭据 6.45万 个 DocuSign 凭据 1.55万 个 QuickBooks 凭证 2.3万个 Salesforce 凭证 6.6万 个 CRM 凭证 此外还有大约 4.8万 个日志包括对“okta.com”的访问，这是组织用于云和本地用户身份验证的企业级身份管理服务。 这些日志中有74% 发布在 Telegram 频道上，而 25% 的日志在和俄罗斯有关的市场。Flare 报告描述称，包含企业访问权限的日志在俄罗斯市场和 VIP Telegram 频道上的比例过高，这表明攻击者用来获取日志的方法可能无意或有意地针对更多企业。而在一些公开的Telegram 频道可能会故意发布价值较低的日志，为付费客户保留高价值的日志。 Flare 还发现了20多万多个包含 OpenAI 凭证的日志，是 Group-IB 最近报告数量的两倍，这些日志存在泄漏专有信息、内部业务战略、源代码等的风险。 Flare 研究员 Eric Clay 解释道：“根据来自暗网论坛 Exploit 的证据，我们认为通过初始访问代理极有可能使用窃取的日志作为主要来源，以在企业环境中获得初步立足点，然后在顶级暗网论坛上进行拍卖。”     转自Freebuf，原文链接:https://www.freebuf.com/news/373101.html 封面来源于网络，如有侵权请联系删除