来自Aqua Security的专家们呼吁对Kubernetes配置密钥的公开披露给予紧急关注。
根据最新的研究,专家们警告称数百个源代码项目和组织容易受到“定时供应链炸弹”的威胁。
Aqua的分析师Yakir Kadkoda和Assaf Morag声称他们发现了公共代码库中的Kubernetes密钥。这些密钥可以访问敏感的软件开发生命周期(SDLC)环境,并对供应链攻击构成严重威胁。
受影响的包括两家领先的区块链公司和其他多家财富500强公司,它们使用GitHub API获取包含.dockerconfigjson和.dockercfg的所有条目,这些条目存储了访问容器镜像注册表的凭据。
你可能还喜欢:
去中心化在保证安全方面的作用
在438个记录中,有203个记录(约占46%)包含有效的注册表凭据,可能存在风险。
其中,有93个密码是由个人手动设置的,而不是345个由计算机生成的密码。此外,近50%的93个密码被认为是弱密码。其中包括password、test123456、windows12、ChangeMe和dockerhub等。
根据DefiLlama的最新数据,黑客在2023年的75次攻击中窃取了10亿美元。这相比于2022年的60起事件造成的32亿美元损失要少得多。现在攻击者进行的是规模较小但频率更高的攻击。在今年记录的75起事件中,仅有11起事件中的黑客窃取金额超过1000万美元,这表明黑客正在进行更小规模、更频繁的盗窃。
你可能还喜欢:
在Web3中保持安全:DApps安全指南
在Google News上关注我们。