该公司研究人员于11月扫描全球最大的容器镜像库DockerHub,结果发现共有10456个镜像暴露了至少一个敏感密钥。亚汇网援引博文介绍,在这些泄露数据中,AI模型的访问令牌(AccessTokens)出现频率最高,涉及OpenAI、HuggingFace、Anthropic等主流平台,总数高达4000个。更令人担忧的是,42%的问题镜像同时泄露了五个以上的敏感值,这通常意味着攻击者可以借此获取云环境、代码仓库及支付系统的完全访问权限。研究人员通过分析205个命名空间,确认此次泄露事件直接影响了101家公司,受影响群体主要集中在软件开发领域,其次是营销、工业及智能系统行业。尽管大多数受影响的为中小企业,但名单中也出现了一家“财富500强”企业以及超过10家金融和银行机构。这些高价值目标的敏感数据泄露,极可能引发严重的供应链攻击或资金风险。Flare在分析泄露源头时发现,最常见的错误是开发者将用于存储数据库凭证和云访问密钥的.ENV文件直接留在了镜像中。此外,研究人员还在Python应用程序文件、JSON配置及YAML文件中发现了大量被“硬编码”(将密码、密钥、路径等数据直接写入源代码中)的APItoken。报告特别指出,许多泄露源自所谓的“影子IT”(企业内部员工在未经IT部门批准或知情的情况下,擅自使用的软件、硬件或云服务)账户,即属于承包商或员工个人使用的DockerHub账户,这些账户通常游离于企业严格的安全监控体系之外。本次调查揭示了一个致命的安全盲区:虽然约25%的开发者在意识到错误后,会在48小时内从容器或清单文件中删除泄露的秘密信息,但其中高达75%的案例并未撤销(Revoke)相应的密钥。这意味着,只要攻击者在泄露窗口期内截获了这些凭证,即便原文件已被删除,他们仍可长期利用未失效的密钥发起攻击。对此,Flare建议企业应集中管理机密信息,杜绝在镜像中存储静态凭证,并实施全生命周期的自动化扫描。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
免责声明:本文章仅代表作者个人观点,不代表亚汇网立场,亚汇网仅提供信息展示平台。
更多行情分析及广告投放合作加微信: hollowandy
