Beégetett kulcsok és komoly veszélyek
Nemcsak egyszerűen benne maradtak API-tokenek Python-fájlokban, konfigurációs állományokban, hanem a Docker-képek manifesztjeibe is elmentették ezeket a kritikus információkat. Ezek a többféle titokhoz hozzáférést adó adatszivárgások óriási kockázatot jelentenek, hiszen akár a teljes felhőinfrastruktúrák, Git-repozitóriumok vagy fizetési rendszerek is kompromittálódhatnak miattuk.
A fejlesztők hibáznak – és lassan javítanak
A vizsgált esetek negyedében a fejlesztők észrevették a hibát, és 48 órán belül törölték a titkos adatokat a konténerből vagy a manifesztből. Ugyanakkor az esetek 75%-ában nem vonták vissza a kiszivárgott kulcsokat, így azok bármikor újrafelhasználhatók támadásokhoz.
Mi a teendő?
A Flare szerint titkokat sosem szabad konténerképekbe menteni, és kerülni kell a statikus, hosszú élettartamú hitelesítő adatokat. Létfontosságú a központosított titokkezelés, aktív ellenőrzések végzése a fejlesztési ciklus minden szakaszában, a kiszivárgott adatok azonnali visszavonása, valamint a régi kulcsok inaktiválása.
