Phát hiện này được công bố bởi Công ty an ninh mạng GitGuardian (Pháp), hãng bảo mật này cho biết mặc dù đã gửi 1,8 triệu cảnh báo qua email, thế nhưng 90% bí mật bị tiết lộ vẫn hoạt động sau 5 ngày kể từ khi sự cố rò rỉ xảy ra. Chỉ 2,6% dữ liệu bị thu hồi trong vòng một giờ kể từ khi thông báo được gửi qua email đến những người dùng bị lộ thông tin.
Các bí mật bị rò rỉ bao gồm mật khẩu tài khoản, khóa API, chứng chỉ TLS/SSL, khóa mã hóa, thông tin xác thực dịch vụ đám mây, mã thông báo OAuth và dữ liệu nhạy cảm khác có thể cung cấp cho các tác nhân bên ngoài quyền truy cập không giới hạn vào các tài nguyên và dịch vụ riêng tư khác nhau, dẫn đến vi phạm dữ liệu và thiệt hại tài chính.
Một báo cáo của công ty phần mềm bảo mật và phần cứng Sophos (Vương quốc Anh) năm 2023 nhấn mạnh rằng, thông tin xác thực bị xâm phạm chiếm 50% nguyên nhân cốt lõi dẫn đến các cuộc tấn công được ghi nhận trong nửa đầu năm.
Hình 1. Hàng triệu dữ liệu bí mật được tiết lộ trên GitHub mỗi năm (GitGuardian)
Các quốc gia bị rò rỉ nhiều nhất trong năm qua là Ấn Độ, Mỹ, Brazil, Trung Quốc, Pháp, Canada, Việt Nam, Indonesia, Hàn Quốc và Đức.
Xét về lĩnh vực bị rò rỉ nhiều nhất, công nghệ thông tin đứng đầu danh sách với tỷ lệ lên đến 65,9%, tiếp theo là giáo dục với tỷ lệ đáng chú ý là 20,1% và một số lĩnh vực khác (khoa học, bán lẻ, sản xuất, tài chính, hành chính công, y tế, giải trí, vận tải) chiếm 14%.
Hình 2. Top 10 loại dữ liệu bí mật bị rò rỉ trong năm 2023 (GitGuardian)
Khoảng 50 triệu kho lưu trữ mới đã được thêm vào GitHub trong năm qua, tăng 22% so với cùng kỳ năm ngoái. Tổng cộng ba triệu kho lưu trữ chứa các bí mật bị rò rỉ, phổ biến nhất trong số đó là khóa Google API, thông tin xác thực MongoDB, mã thông báo OpenWeatherMap, mã thông báo Telegram Bot, khóa Google Cloud và AWS IAM.
Xu hướng AI
Các công cụ AI tạo sinh tiếp tục phát triển bùng nổ vào năm 2023, điều này cũng được phản ánh qua số lượng bí mật liên quan được tiết lộ trên GitHub vào năm ngoái.
GitGuardian chứng kiến số lượng khóa API OpenAI bị rò rỉ trên GitHub tăng gấp 1.212 lần so với năm 2022, rò rỉ trung bình 46.441 khóa API mỗi tháng, thậm chí công ty an ninh mạng này còn phát hiện nhiều mã thông báo truy cập của người dùng trên kho lưu trữ mô hình AI nguồn mở HuggingFace bị rò rỉ hơn, cả hai đều cho thấy mức độ phổ biến ngày càng tăng của các dịch vụ AI.
OpenAI được biết đến với các sản phẩm như ChatGPT và DALL-E, được sử dụng rộng rãi ngoài cộng đồng công nghệ. Nhiều doanh nghiệp và người dùng nhập thông tin nhạy cảm trên lời nhắc của ChatGPT và việc lộ các khóa này là cực kỳ rủi ro. Các dịch vụ AI khác như Cohere, Claude, Clarifai, Google Bard, Pinecone và Replicate cũng bị rò rỉ bí mật, mặc dù ở mức độ thấp hơn nhiều.
Trong khi những người sử dụng dịch vụ AI cần bảo mật thông tin bí mật của mình tốt hơn, GitGuardian nhận định các công nghệ này cũng có thể được sử dụng để phát hiện các mối đe dọa và sự cố. Các nhà nghiên cứu cho rằng các mô hình ngôn ngữ lớn (LLM) có thể giúp phân loại các bí mật bị rò rỉ một cách nhanh chóng và ít sai sót hơn.
Tuy nhiên, quy mô hoạt động khổng lồ, những cân nhắc về chi phí và thời gian cũng như hiệu quả nhận dạng đều là những yếu tố hạn chế khiến những nỗ lực đó gặp nhiều thách thức, ít nhất là ở thời điểm hiện tại.
Tháng 02/2024, GitHub đã kích hoạt tính năng push protection theo mặc định để ngăn chặn việc vô tình tiết lộ bí mật khi đẩy mã mới lên nền tảng này.
Hồng Đạt
(Tổng hợp)
08:00 | 12/03/2024
13:00 | 05/04/2024
09:00 | 09/01/2024
16:00 | 03/08/2023
16:00 | 25/04/2024
Chiều 24/4, tại Diễn đàn thường niên “Blockchain và AI: Cuộc cách mạng tương lai”, Hiệp hội Blockchain Việt Nam đã chính thức ra mắt Viện Công nghệ Blockchain và Trí tuệ Nhân tạo (ABAII).
14:00 | 25/04/2024
Ngày 18/4, Meta thông báo triển khai trợ lý AI thông minh nhất hiện nay - Meta AI miễn phí cho các nền tảng của mình. Theo CEO Meta Mark Zuckerberg, trợ lý có thể trả lời câu hỏi, tạo hình ảnh cho người dùng. Meta AI được xây dựng dựa trên mô hình ngôn ngữ lớn mới nhất của hãng mang tên Llama 3.
14:00 | 13/03/2024
Sáng ngày 13/3, tại Hà Nội, Đoàn công tác của Bộ Quốc phòng do Thượng tướng Lê Huy Vịnh, Ủy viên Ban Chấp hành Trung ương Đảng, Thứ trưởng Bộ Quốc phòng làm trưởng đoàn đến thăm và làm việc tại Học viện Kỹ thuật mật mã về công tác đào tạo nguồn nhân lực chuyển đổi số.
10:00 | 13/03/2024
Đầu tháng 3/2024, nhiều người dùng Facebook tại Việt Nam chia sẻ thông tin cảnh báo về một hình thức lừa đảo mới. Theo cảnh báo này, người dân sẽ bị chiếm quyền điều khiển điện thoại, bị chiếm đoạt tài sản khi quét mã QR trên phiếu trúng thưởng được gửi trong bưu phẩm do shipper chuyển đến.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024