Riscos de vazamento de segredos

Segredos como chaves de API, senhas e tokens comprometidos com repositórios podem ser explorados por usuários não autorizados, criando segurança, conformidade e risco financeiro para sua organização.

Neste artigo

Segredos e credenciais

Segredos são credenciais que concedem acesso a sistemas e dados confidenciais, incluindo chaves de API, senhas, tokens de autenticação, certificados e chaves de criptografia. Quando os segredos são introduzidos em repositórios, eles se tornam parte do seu histórico no Git e permanecem acessíveis mesmo depois de serem removidos da confirmação mais recente.

Os segredos nos repositórios de código podem ser descobertos por ferramentas de verificação automatizadas e usuários não autorizados. Repositórios públicos são particularmente vulneráveis, mas credenciais vazadas de repositórios privados também podem se espalhar por ramificações, logs de CI/CD ou integrações de terceiros.

Impacto na segurança dos segredos expostos

Os segredos expostos podem levar a vários tipos de incidentes de segurança:

          **Acesso e uso não autorizados**

  • Credenciais de provedor de nuvem vazadas podem ser usadas para provisionar infraestrutura ou serviços em sua conta

  • As credenciais de banco de dados permitem o acesso a dados confidenciais do cliente ou organizacionais

  • Tokens de conta de serviço fornecem pontos de entrada para sistemas de produção

            **Problemas operacionais e de conformidade**

  • A infraestrutura pode ser modificada ou excluída usando credenciais vazadas

  • Violações de dados de segredos expostos podem resultar em penalidades regulatórias sob GDPR, CCPA e outras estruturas

  • As organizações enfrentam custos para resposta a incidentes, rotação de credenciais e correção do sistema

            **Risco organizacional**

  • A divulgação pública de segredos vazados afeta a confiança do cliente e a reputação organizacional

  • Tokens de registro de pacote expostos podem ser usados para publicar versões mal-intencionadas do seu software

  • Chaves de API proprietárias ou credenciais de serviço podem ser exploradas

Impacto financeiro dos segredos expostos

O vazamento secreto pode resultar em custos diretos e indiretos para sua organização, desde despesas imediatas até consequências comerciais de longo prazo.

          **Custos imediatos**

  • O uso não autorizado de recursos de nuvem de chaves de API vazadas pode gerar encargos para instâncias de computação, armazenamento ou transferência de dados

  • Operações de mineração de criptomoedas em contas comprometidas podem resultar em contas de infraestrutura substanciais

  • A resposta a incidentes de emergência requer recursos para investigação forense, auditorias de segurança e rotação de credenciais entre sistemas

            **Custos de violação de dados**

  • As multas regulatórias por violações de proteção de dados podem chegar a milhões de dólares de acordo com o GDPR, CCPA e regulamentações específicas do setor

  • Os custos legais incluem investigação, requisitos de notificação e possíveis litígios

  • Monitoramento de crédito e serviços de proteção de identidade para clientes afetados

            **Impacto operacional**

  • Interrupções de serviço da infraestrutura comprometida resultam em perda de receita e produtividade

  • O tempo de engenharia gasto respondendo a incidentes de segurança desvia recursos do desenvolvimento de produtos

  • Aumento dos custos de monitoramento e ferramentas de segurança após incidentes

            **Impacto nos negócios de longo prazo**

  • Rotatividade de clientes após divulgação pública de incidentes de segurança

  • Aumento dos prêmios de seguro para cobertura de responsabilidade cibernética

  • Oportunidades de negócios perdidas devido a avaliações de segurança com falha ou auditorias de conformidade

Cenários comuns de vazamento de segredo

Os segredos normalmente entram nos repositórios por meio de vários padrões comuns.

          **Fluxos de trabalho de desenvolvimento**

  • Credenciais codificadas durante o teste local e inadvertidamente confirmadas

  • Segredos em arquivos de configuração, como .env ou modelos de infraestrutura como código

  • Credenciais de exemplo que contêm tokens reais na documentação, wikis ou arquivos README

            **Gerenciamento de repositório**

  • Repositórios herdados que contêm credenciais esquecidas, mas ainda ativas

  • Segredos compartilhados em issues do GitHub, comentários de pull requests, discussões ou gists

  • Credenciais introduzidas por colaboradores externos ou empreiteiros

            **Desafios de controle de versão**

  • Os segredos persistem no histórico do Git mesmo após a remoção do código atual

  • Credenciais propagam-se em repositórios derivados, sistemas de backup e logs.

  • Repositórios públicos com segredos expostos são indexados por mecanismos de pesquisa e serviços especializados de verificação

Segurança secreta com GitHub

          GitHub fornece ferramentas para ajudá-lo a prevenir, detectar e corrigir vazamentos de segredo:

1. Impedir que novos segredos sejam vazados

Habilite a proteção por push para repositórios verificarem o código durante git push operações e bloquearem confirmações que contêm segredos detectados. Isso impede que as credenciais entrem nos seus repositórios enquanto proporciona retorno em tempo real aos desenvolvedores.

Incentive seus colaboradores a habilitar a proteção por push para suas contas pessoais (o recurso é chamado de "proteção por push para usuários") para proteger todos os seus pushes para seus repositórios, bifurcações e todos os repositórios aos quais eles contribuem no GitHub. Isso permite que desenvolvedores individuais evitem vazamentos secretos sem esperar por políticas no nível da organização.

2. Detectar segredos existentes

Use secret scanning para monitorar continuamente os repositórios de segredos confirmados e receber alertas quando as credenciais forem detectadas. Isso possibilita o revogamento e a atualização de credenciais comprometidas rapidamente.

Próximas Etapas 

Para proteger sua organização contra vazamentos secretos:

  1. Execute uma avaliação de risco de segredo livre para entender sua exposição atual. Descubra como executar uma avaliação de risco de segredo gratuita

  2. Habilite a proteção por push para impedir que novos segredos sejam commitados.

  3. Habilite secret scanning com um clique para começar a detectar vazamentos secretos.

  4. Estabeleça práticas seguras de gerenciamento de credenciais para suas equipes de desenvolvimento.

Para obter uma visão geral dos recursos de GitHubsegurança secretos, consulte Sobre a segurança secreta com o GitHub.