Rahasia bukan hanya kredensial login dan data pribadi; mereka dengan aman menyatukan komponen rantai pasokan perangkat lunak modern, dari kode hingga cloud. Dan karena pengaruh yang mereka berikan, mereka banyak dicari oleh para peretas.
Namun, banyak pelanggaran yang terjadi pada tahun 2022 menunjukkan betapa tidak memadainya perlindungan rahasia. Penelitian dari spesialis deteksi otomatis GitGuardian menemukan bahwa satu dari 10 pembuat kode mengungkap rahasia pada tahun 2022.
Hanya dalam satu contoh, pada September 2022 seorang penyerang menerobos Uber dan menggunakan kredensial admin hard-code untuk masuk ke Thycotic, platform Manajemen Akses Istimewa perusahaan. Ini memungkinkan mereka mencapai pengambilalihan akun penuh pada beberapa alat internal dan aplikasi produktivitas.
Lebih dari 80 persen dari semua rahasia yang ditangkap oleh pemantauan langsung di GitHub diekspos melalui repositori pribadi pengembang, dan sebagian besar di antaranya sebenarnya adalah rahasia perusahaan. Ada sejumlah alasan untuk menjelaskan mengapa hal ini terjadi. Tentu saja, perilaku jahat dapat menjadi salah satu faktornya, termasuk membajak sumber daya perusahaan dan motif tersembunyi lainnya. Tetapi skala besar dari fenomena tersebut mengisyaratkan hal lain yang sebagian besar terjadi karena kesalahan manusia dan kesalahan konfigurasi.
“Jika seorang rekan di bagian keamanan mengatakan kepada saya bahwa deteksi rahasia bukanlah prioritas, saya akan mengatakan bahwa itu adalah sebuah kesalahan,” kata Theo Cusnir, insinyur keamanan aplikasi di PayFit. “Sebagian besar masalah keamanan besar berasal dari serangan rekayasa sosial atau isian kredensial. Jadi, sangat penting untuk mengetahui bahwa teknisi dan karyawan Anda akan membocorkan rahasia. Itulah hidup. Sering kali, itu karena kesalahan. Tapi jika itu terjadi, kita perlu menindaklanjutinya. Semakin banyak insinyur, semakin besar potensi kebocoran terjadi.”
Seperti banyak tantangan keamanan lainnya, kebersihan rahasia yang buruk melibatkan kombinasi orang, proses, dan alat. Organisasi yang serius dalam menjinakkan gepeng rahasia harus bekerja secara bersamaan di semua bidang ini.
“Misi kami adalah untuk mengamankan kode dan SDLC. Kami ingin melakukannya dengan pendekatan yang transparan, sederhana, dan pragmatis dimulai dengan salah satu masalah terpenting dalam appec: rahasia dalam kode,” kata Eric Fourrier, CEO GitGuardian.
Anda bisa mendapatkan laporan lengkap State of Secrets Sprawl 2023 di situs GitGuardian dan akan ada webinar untuk membahas temuan tersebut pada 22 Maret pukul 11 pagi ET.
Kredit gambar: Dean Drobot / Shutterstock
