2min

Tags in dit artikel

, , ,

Open source-website GitHub gaat token scanning aanbieden voor onder andere Atlassian, Dropbox en Discord. De techniek voorkomt dat tokens misbruikt kunnen worden door cybercriminelen.

Token scanning is een techniek die cryptografische informatie van toegangstokens identificeert. De tokens kunnen dan ingetrokken worden in geval van kwaadaardig gebruik. GitHub bood deze techniek al aan voor meerdere verschillende typen inloggegevens. Nu gaat het bedrijf ook samenwerken met een aantal extra partners om token scanning in te zetten.

VentureBeat meldt dat de lijst van partners zal worden aangevuld met Atlassian, Dropbox, Discord, Proctorio en Pulumi. Als nu dus iemand per ongeluk een token incheckt voor bijvoorbeeld Jira van Atlassian, krijgt dit bedrijf een melding. Hier komt ook metadata bij, zodat er direct actie kan worden ondernomen.

Toekomst van clouddiensten

“Het samenstellen van dergelijke cloudservices is de norm voor de toekomst, maar dat gaat gepaard met inherente complexiteit wat betreft security”, meldt Patrick Toomey, product security manager bij GitHub. “Voor elke cloudservice die een ontwikkelaar gebruikt, zijn meestal één of meer referenties nodig, vaak in de vorm van API-tokens. In de verkeerde handen kunnen ze worden gebruikt om toegang te krijgen tot gevoelige klantgegevens – of uitgebreide computerbronnen voor het minen van cryptovaluta, wat aanzienlijke risico’s met zich meebrengt voor zowel gebruikers als cloud-dienstverleners.”

Toomey legt in een blogbericht uit dat de meeste commits en private repositories gescand worden binnen luttele seconden nadat ze openbaar zijn. Wanneer er een overeenkomst wordt gevonden met een niet-versleutelde SSH private key, GitHub OAuth token, persoonlijke toegangstoken of een ander type toegangsgegevens, wordt de betreffende provider hiervan op de hoogte gesteld. Op die manier heeft die de tijd om te reageren door de betreffende token(s) in te trekken en mogelijke getroffen gebruikers bericht te geven.