- Para peneliti menemukan 65% dari 50 perusahaan AI teratas versi Forbes membocorkan rahasia
- Ini datang dalam bentuk token, kunci API, dan kredensial sensitif
- Wiz menggunakan pendekatan ”Kedalaman, Keliling, dan Cakupan’ untuk menemukan kebocoran
Perusahaan AI memiliki sejarah yang cukup sulit dalam hal keamanan siber dan privasi data, dan merupakan hal yang baru penelitian dari Wiz menunjukkan hal ini masih belum membaik.
Melihat 50 perusahaan AI terkemuka versi Forbes sebagai tolok ukur, para ahli menemukan hampir dua pertiga (65%) dari perusahaan AI terkemuka ini membocorkan rahasia terverifikasi di GitHub.
Token, kredensial sensitif, dan kunci API ini ditemukan terkubur jauh di tempat yang tidak akan pernah ditemukan oleh sebagian besar peneliti dan pemindai, seperti fork yang dihapus, repositori pengembang, dan intisari.
Tidak ada balasan
Wiz mengatakan mereka menggunakan kerangka ‘Kedalaman, Perimeter, dan Cakupan’ untuk mendekati repositori GitHub ini, memungkinkan mereka mengakses dan mencari sumber baru, untuk melangkah lebih jauh dari ‘rahasia di permukaan’ untuk pemindaian mendalam yang mengungkap lebih dari sekadar pencarian tradisional.
Aspek ‘Perimeter’ dari penelitian mereka mencakup perluasan penemuan kepada kontributor dan anggota organisasi, yang sering kali ‘secara tidak sengaja memeriksa rahasia terkait perusahaan ke dalam repositori dan intisari publik mereka sendiri.’
Cakupan berkaitan dengan tipe rahasia baru yang sering terlewatkan oleh pemindai tradisional, seperti Tavily, Langchain, Cohere, atau Pinecone.
Menariknya, ketika para peneliti mengungkapkan kebocoran ini kepada target, hampir setengah dari notifikasi tersebut gagal menjangkau mereka, tidak menerima respons karena kurangnya saluran notifikasi resmi, atau perusahaan gagal membalas atau menyelesaikan masalah tersebut.
Para peneliti merekomendasikan untuk segera menerapkan pemindaian rahasia sebagai pertahanan yang tidak dapat dinegosiasikan – tidak peduli seberapa besar ukuran organisasi Anda.
Mereka juga merekomendasikan untuk memprioritaskan deteksi untuk jenis rahasia mereka sendiri; ‘ terlalu banyak toko yang membocorkan kunci API mereka sendiri saat “memakan dogfood mereka”. Jika format rahasia Anda baru, libatkan vendor dan komunitas sumber terbuka secara proaktif untuk menambahkan dukungan.’
Terakhir, mereka menyarankan agar perusahaan menyiapkan saluran khusus untuk pengungkapan. Protokol pengungkapan adalah langkah keamanan penting yang dapat memberikan perusahaan Anda langkah awal dalam menghadapi kerentanan atau kebocoran apa pun, sehingga saluran ini dapat menjadi sumber berbagi informasi yang penting.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
Perlindungan pencurian ID terbaik untuk semua anggaran
