10.000 usuarios de GitHub desvelan sus credenciales de AWS

Escrito por Rubén Velasco
Seguridad
0

El software libre tiene sus ventajas como ya hemos hablado en otras ocasiones, sin embargo, también tiene inconvenientes si el desarrollador no tiene el cuidado que deberia. Un programador que publica el código fuente de un software expone todo el código por completo a los ojos de los demás usuarios, si no se tiene cuidado a la hora de publicarlo, el programador puede exponer información personal de cara a todo el público tal como ha demostrado un reciente estudio.

Los servicios de Amazon de almacenamiento y computación en la nube son muy utilizados, especialmente debido a su sencillez de administración, control y a los reducidos precios que ofrecen a sus usuarios. Los desarrolladores de código abierto suelen implementar estas funciones en sus programas de cara a los usuarios que accedan al código. Según un último estudio, más de 10.000 proyectos libres dentro de GitHub pueden tener credenciales de Amazon Web Services con claves privadas copiadas por error en los proyectos.

AWS aporta a sus usuarios una clave pública y una clave privada. Estas claves funcionan de manera similar a un certificado, es decir, la clave pública es una clave que asocia a la cuenta a nivel de usuario para poder hacer uso de ella y la clave privada es la que identifica al usuario como administrador y permite la gestión de las cuentas. La clave pública es la que se debe facilitar a los usuarios quedando la clave privada siempre almacenada de forma protegida. Sin embargo, algunos desarrolladores no han prestado la suficiente atención a este aspecto y han publicado código fuente dentro de GitHub con claves privadas en sus códigos vulnerando su seguridad.

egit_github_14

Cualquier usuario con acceso a la clave privada de Amazon Web Services puede obtener fácilmente los mismos permisos y acceder a las mismas plataformas que el usuario original, es decir, el usuario podría llegar a convertirse en el “administrador de la cuenta de los servicios en la nube”.

En el siguiente enlace, Amazon explica posibles usos seguros de sus claves orientados a los programadores de código abierto para que puedan publicar sus programas sin exponer así sus claves privadas a todos los usuarios de la red.

Se recomienda a todos los desarrolladores que hayan publicado código en GitHub vinculado como Amazon Web Services que revisen la clave y en caso de haber publicado una clave privada soliciten una nueva y cambien la privada del proyecto por una pública nueva lo antes posible.

¿Conoces algún caso similar en el que algún desarrollador de software libre haya publicado por error en GitHub u otra plataforma credenciales de acceso?

Fuente: Help Net Security