Quando as chaves AWS foram expostas nos repositórios do GitHub, o GitHub respondeu invalidando essas chaves. Pesquisadores da Digital Shadows descobriram que essa ação adequada não acaba com a questão das chaves expostas, pois encontraram quase 800.000 chaves disponíveis na Web.
Os pesquisadores procuraram cerca de 150 milhões de entidades em GitHub, GitLab e Pastebin durante um período de 30 dias em agosto e setembro para encontrar as cerca de 800.000 chaves. Eles descobriram que mais de 40% das chaves eram chaves de banco de dados, enquanto 38% eram para serviços em nuvem. O Redis era o banco de dados mais comum envolvido, enquanto a API do Google Cloud era a chave de serviço em nuvem mais comum.
Em seu post no blog sobre a pesquisa, o Digital Shadows observa três serviços — Trufflehog, GitRob e GitHub Secret Scanning — que podem ajudar as organizações a procurar suas próprias chaves que podem ter sido expostas online.
FONTE: DARK READING