Утечка облачных ключей
Что такое Утечка облачных ключей?
Утечка облачных ключейСлучайная публикация долгоживущих облачных ключей доступа в открытых репозиториях, контейнерных образах, логах или клиентском коде, часто эксплуатируемая в течение минут.
Утечка облачных ключей происходит, когда долгоживущие учетные данные (AWS Access Key ID и Secret Access Key, ключи учетных записей Azure Storage, JSON service account GCP) попадают в публичные репозитории git, встраиваются в веб- или мобильные сборки, запекаются в образы контейнеров или выводятся в подробные логи. Автоматизированные сканеры атакующих и исследователей обнаруживают эти ключи за секунды и немедленно вызывают API, чтобы запустить вычисления, вывести данные или повысить привилегии. Защита: предкоммитные сканеры секретов (gitleaks, trufflehog), детектирование на стороне провайдера (AWS, GitHub secret scanning), короткоживущие федеративные учетные данные через OIDC, плейбуки немедленного отзыва и алерты CloudTrail.
● Примеры
- 01
Ключи AWS с префиксом AKIA попадают в публичный репозиторий GitHub и за пять минут используются для криптомайнинга.
- 02
Утекший JSON service account GCP во фронтенд-бандле используется для выгрузки набора данных BigQuery.
● Частые вопросы
Что такое Утечка облачных ключей?
Случайная публикация долгоживущих облачных ключей доступа в открытых репозиториях, контейнерных образах, логах или клиентском коде, часто эксплуатируемая в течение минут. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Утечка облачных ключей?
Случайная публикация долгоживущих облачных ключей доступа в открытых репозиториях, контейнерных образах, логах или клиентском коде, часто эксплуатируемая в течение минут.
Как работает Утечка облачных ключей?
Утечка облачных ключей происходит, когда долгоживущие учетные данные (AWS Access Key ID и Secret Access Key, ключи учетных записей Azure Storage, JSON service account GCP) попадают в публичные репозитории git, встраиваются в веб- или мобильные сборки, запекаются в образы контейнеров или выводятся в подробные логи. Автоматизированные сканеры атакующих и исследователей обнаруживают эти ключи за секунды и немедленно вызывают API, чтобы запустить вычисления, вывести данные или повысить привилегии. Защита: предкоммитные сканеры секретов (gitleaks, trufflehog), детектирование на стороне провайдера (AWS, GitHub secret scanning), короткоживущие федеративные учетные данные через OIDC, плейбуки немедленного отзыва и алерты CloudTrail.
Как защититься от Утечка облачных ключей?
Защита от Утечка облачных ключей обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Утечка облачных ключей?
Распространённые альтернативные названия: Утечка ключей AWS, Утечка облачных учетных данных.
● Связанные термины
- cloud-security№ 190
Кража облачных токенов
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
- cloud-security№ 505
Повышение привилегий IAM
Злоупотребление существующими облачными IAM-разрешениями для получения более высоких прав, часто через изменение политик, передачу ролей или самоприсвоение административных прав.
- cloud-security№ 182
Облачный криптоджекинг
Несанкционированное использование облачных вычислительных ресурсов жертвы для майнинга криптовалюты, создающее высокие счета, тогда как вознаграждение получает злоумышленник.
- cloud-security№ 183
Утечка данных из облака
Несанкционированное копирование или перенос данных из облачного аккаунта, обычно через API объектного хранилища, снапшоты, репликацию или подконтрольные злоумышленнику аккаунты.
● См. также
- № 079Атака на AWS IMDSv1
- № 255Находка CSPM