Sebuah studi penelitian oleh akademisi North Carolina State University (NCSU) telah menunjukkan bahwa beberapa repositori GitHub membocorkan token API dan kunci kriptografi.
- Sebuah studi penelitian mengungkapkan bahwa banyak repositori GitHub membocorkan informasi sensitif setiap hari.
Tim peneliti memindai lebih dari satu miliar file GitHub selama enam bulan, 31 Oktober 2017 - 20 April 2018.
Studi ini menganalisis lebih dari satu miliar file GitHub yang tersebar di jutaan repositori. Tim dengan tiga anggota dalam penelitian ini secara khusus meneliti string teks yang berisi token API atau kunci kriptografi yang hadir dalam berbagai format.
Gambaran Umum
- Para peneliti menganalisis string teks di 15 format token API yang berbeda dan empat format kunci kriptografi.
- Format token API yang dianggap berasal dari 15 layanan milik 11 perusahaan. Google, Amazon, dan Twitter, adalah beberapa perusahaan populer yang menggunakan format ini.
- Tim NCSU memindai file GitHub antara 31 Oktober 2017, dan 20 April 2018. Mereka menggunakan API Pencarian GitHub untuk penelitian ini serta menyelidiki database BigQuery.
- Sebanyak 575.456 API dan kunci kriptografi ditemukan tersebar di lebih dari seratus ribu repo. 93 persen dari file-file ini berasal dari akun pemilik tunggal.
- Para peneliti menyebutkan bahwa ada sedikit tumpang tindih antara file GitHub yang dipindai dan yang ditemukan dari BigQuery.
Kunci RSA ditemukan
Selain menemukan token API dan kunci kriptografi, tim NCSU juga menemukan lebih dari 7000 kunci RSA di dalam file konfigurasi OpenVPN.
Analisis mereka menunjukkan bahwa sebagian besar pengguna mematikan otentikasi kata sandi dan mengandalkan kunci RSA ini untuk otorisasi. Ini dapat mengarah pada kemungkinan penyerang menggunakan kunci-kunci ini untuk menyusup ke ribuan jaringan pribadi.
Apa yang telah dilakukan studi NCSU adalah untuk memberikan pandangan yang paling mendalam tentang masalah ini sampai saat ini.
Brad Reaves, Asisten Profesor di Departemen Ilmu Komputer di NCSU, mengatakan kepada ZDNet bahwa hasil penelitian itu dibagikan dengan tim perusahaan GitHub.
“Kami telah mendiskusikan hasilnya dengan GitHub. Mereka memprakarsai proyek internal untuk mendeteksi dan memberi tahu pengembang tentang rahasia yang bocor pada saat kami menyelesaikan penelitian kami. Proyek ini diakui secara publik pada Oktober 2018, ”kata Reaves.
Makalah yang ditulis Reaves bersama dengan Michael Meli dan Matthew R. McNiece berjudul "Seberapa Buruknya Git? Mengkarakterisasi Kebocoran Rahasia di Repositori Publik GitHub," dan tersedia untuk diunduh dalam format PDF
