В PyPl были обнаружены ключи AWS
В PyPl были обнаружены ключи AWS и вредоносное ПО. Фото: СС0
Инструмент обнаружил 57 положительных результатов, в том числе от Amazon, Intel, Стэнфордского, Портлендского и Луизианского университетов, правительства Австралии, отдела термоядерного синтеза General Atomics, Terradata, Delta Lake и Top Glove.
Из сообщения исследователя Тома Форбса:
«Этот отчет содержит найденные ключи, а также публичную ссылку на ключи и другие метаданные о выпуске. Поскольку эти ключи зафиксированы в общедоступном репозитории GitHub, срабатывает сервис Github Secret Scanning и уведомляет AWS об утечке ключей».
Форбс утdерждает, что наличие в свободном доступе ключей может вызвать самые разные проблемы.
Из сообщения исследователя Тома Форбса:
«Это зависит от конкретных разрешений, предоставленных самому ключу. Ключ, который я обнаружил в утечке из InfoSys [в ноябре], имел «полный доступ администратора», что означает, что он может делать все, что угодно, а другие ключи, которые я нашел в PyPI, были «корневыми ключами», которым также разрешено делать что угодно. Злоумышленник, владеющий этими ключами будет иметь полный доступ к учетной записи AWS, с которой он связан».
Он добавил, что автоматическое сканирование ключей GitHub — это положительный шаг вперед, но его недостаточно для полного решения проблемы.
Из сообщения исследователя Тома Форбса:
«GitHub также очень заботится о безопасности цепочки поставок, но то, как они сканируют секреты, предполагает активное сотрудничество с поставщиками, которые могут раскрывать GitHub внутреннюю информацию о том, как создаются ключи. Это означает, что регулярные выражения, которые GitHub использует для поиска секретов, не могут быть обнародованы и являются конфиденциальными, что также означает, что третьи стороны, такие как PyPI, фактически не могут использовать эту потрясающую инфраструктуру без отправки каждого бита кода, опубликованного в PyPI, в GitHub».
Исследователь обвинил PyPI, заявив, что платформа может сделать больше для защиты своих пользователей, и рекомендовал разработчикам брать на себя ответственность за безопасность своих решений, а организациям пересмотреть свою политику безопасности.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
20724
Комментариев пока не было