Утечка секретов Kubernetes
Кибербезопасники Aqua Security обеспокоены публично доступными конфигурационными секретами Kubernetes, которые могут угрожать безопасности цепочек поставок многих организаций. Некоторые из затронутых компаний включают две ведущие блокчейн-компании и другие компании из списка Fortune 500.
Так, зашифрованные секреты конфигурации Kubernetes были загружены в общедоступные репозитории. Данные получены с помощью GitHub API, где анализировались записи, содержащие секреты типа «.dockerconfigjson» и «.dockercfg». Эти файлы хранят учётные данные для доступа к реестрам образов контейнеров.
Из 438 записей, потенциально содержащих действующие учётные данные для реестров, 203 записи действительно содержали актуальные данные, обеспечивая доступ к этим реестрам. В большинстве случаев эти учётные данные позволяли осуществлять как загрузку, так и выгрузку информации.