安全研究人员指出,当前的漏洞赏金计划在处理凭据泄露问题时存在严重缺陷:尽管 API 密钥具有引发大规模数据泄露的极高风险,但这些计划往往将其归类为“范围外(out of scope)”而不予受理。
根据 Cremit 的一份报告,两起独立案例均涉及管理员级别的密钥以明文形式暴露在公开的 GitHub 仓库中。其中一起案例中,一个 Slack Bot Token 暴露长达三年,攻击者可借此访问敏感的公司频道、文件和用户目录。
尽管该 Token 实际上已经勾勒出了整个组织技术栈的蓝图,但该机构的漏洞赏金计划仍将其判定为“范围外”。
在第二个案例中,一个拥有完整读写权限的 Asana 管理员 API 密钥在暴露两年后被发现。该密钥属于一家已被并入母公司的子公司。由于该资产源自于一个独立的实体,母公司同样以“范围外”为由拒绝了该报告。
范围界定的结构性失效
Cremit 的报告显示,尽管两家公司在官方层面都否认了报告的有效性,但在披露之后都采取了更换密钥的措施。这种矛盾表明,企业在积极应对风险的同时,却在正式的安全渠道中拒绝承认这些风险的存在。
报告指出:“风险已被确认,披露的价值已被利用,但官方分类却依然维持在‘范围外’。”
这种将凭据视为“范围外”的做法忽略了现代数据泄露的残酷现实。报告引用了丰田(Toyota)的案例,其访问密钥曾暴露长达五年,导致超过 29.6 万条客户记录泄露;此外还提到了 Uber 2016 年的入侵事件,其根源正是 GitHub 中硬编码的 AWS 凭据。
GitGuardian 的数据显示,这一问题的规模正在加速扩大。报告指出,2024 年在公开 GitHub 仓库中检测到的机密信息达 2380 万条,同比增长了 25%。
研究人员认为,现有的漏洞赏金模式存在根本性的缺陷。虽然这类计划旨在发现 SQL 注入等代码级漏洞,但面对日益严重的“非人类身份(NHI)”泄露威胁,目前的机制显然力不从心。
