2025'te GitHub'da 29M'den Fazla Gizli Bilgi Sızdı

Güvenlik araştırmacıları, 2025 boyunca GitHub'da 29 milyondan fazla gizli bilginin — sabit kodlanmış kimlik bilgilerinden API anahtarlarına kadar — kamuya açık depo ve commit'lerde ortaya çıktığını tespit etti. Analiz, otomatik geliştirici araçları ve AI destekli kod önerilerinin çoğu zaman durumu daha kötü hale getirdiğini; hassas verileri algılamakta yetersiz kaldığını veya yeniden eklediğini gösteriyor.

Sızan veriler arasında düz metin parolalar, bulut anahtarları ve asla kamuya atılmaması gereken yapılandırma dosyaları yer alıyordu. Birçok örnekte bu commit'ler CI/CD betikleri, bot hesapları veya AI kod asistanlerinin önerileri sayesinde yapıldı. Bazı otomasyon sistemleri hataları yakalamak yerine, önerilen değişiklikler içinde gizli dizeleri üretiyor veya yeniden ekliyor gibi görünüyor.

Uzmanlar, bu tür sızıntıların saldırı yüzeyini önemli ölçüde artırdığını ve kötü niyetli aktörlere bulut kaynaklarına, veri tabanlarına ya da üçüncü taraf hizmetlere yetkisiz erişim sağlayabileceğini söylüyor. Sonuçları veri ihlali, izinsiz altyapı kullanımı ve mali zararlar olabilir.

Geliştiricilere ve ekiplerine önerilen önlemler arasında gizli bilgi yönetimi araçları kullanmak, ortaya çıkan anahtarları hemen döndürmek, depo gizli taramasını etkinleştirmek ve kazara commit'leri engelleyen pre-commit hookları veya CI kontrolleri uygulamak bulunuyor. Ayrıca token kapsamlarını sınırlamak ve minimum ayrıcalık politikaları benimsemek sızıntı etkisini azaltabiliyor.

Araç geliştiricilerinden ise AI kod asistanlarına ve otomatik commit sistemlerine gizli bilgi tespitini entegre etmeleri ve hassas dosya/pattern'lere dokunan önerilerde kullanıcıyı uyarmaları bekleniyor. Otomasyon ve AI gelişimi fayda sağlarken, doğru koruma katmanları olmadan riskleri de büyütebiliyor.