|
开发人员泄漏松弛访问令牌在GitHub,敏感的业务数据,灰鸽子下载,远程控制软件
研究人员发现超过1500公共GitHub松弛为机器人和帐户访问令牌的项目
开发人员从数以百计的公司包括访问令牌的松弛账户在GitHub的公共项目,把他们的团队的内部聊天和其他数据的风险。
松弛已成为最受欢迎的协作和内部沟通工具使用的公司,因为它的多功能性。平台的API允许用户开发机器人,可以接收来自外部服务的命令或发布内容直接在松弛的渠道,使它容易自动化各种任务。
许多开发人员发布代码的松弛机器人——其中一些小型的个人项目在GitHub上,但不能消除机器人的访问令牌。
一些开发人员甚至包括私人标记与代码中自己的账户。
这样的令牌可以提供聊天、文件,私人信息等敏感数据共享在松弛团队,这些开发人员或机器人成员。
网站安全公司Detectify研究人员发现了1500多在GitHub上松弛的令牌。
令牌提供的团队从支付提供商,互联网服务提供商,学校、广告公司、报纸和卫生保健提供者。
使用这些标记,研究人员获得松弛团队和发现数据库凭证,敏感的私人信息,文件包含密码和登录到持续集成平台和内部服务。
“我们也从里面的内部沟通松弛团队得出结论,人们往往很草率和传递凭证一般来说,“Detectify的研究人员在一篇博客文章中说。
这已经不是第一次敏感访问令牌”项目托管在GitHub中暴露出来。
2014年,一位研究人员发现近10000对Amazon Web服务的访问键和弹性计算云留下的开发者在GitHub上公开访问代码。
其他研究人员发现后端数据库和服务的凭证硬编码在成千上万的手机应用程序,可以很容易地打开和检查。
“从未提交凭证代码内部,,“Detectify研究者说。“你应该做的第一件事是创建环境变量在文件和忽略文件从代码库开始。”
松弛允许球队老板限制应用程序的创建和自定义集成只选择成员,而不是全部。
|
|