Tänk dig att du låser dörren till kontoret varje kväll - men lämnar nyckeln under dörrmattan med en lapp: 'Nyckeln ligger här.' Det är ungefär vad tusentals företag och myndigheter världen över gör med sina digitala certifikat. En ny studie från GitGuardian och Google visar att problemet är mycket större än branschen velat erkänna.

Vad avslöjade studien?

Forskarna gick igenom offentliga plattformar som GitHub och DockerHub och hittade nära en miljon unika privata nycklar som av misstag publicerats sedan 2021. Av dessa var over 2 600 certifikat fortfarande aktiva - kopplade till riktiga domäner hos Fortune 500-företag, myndigheter och stora organisationer.

En privat nyckel är det som bevisar att en webbplats verkligen är den den utger sig för att vara. Med en stulen nyckel kan en angripare skapa en perfekt kopia av din webbplats, avlyssna krypterad trafik eller utge sig för att vara din organisation i kommunikation med kunder och partners.

Varfor händer det här?

Problemet är mänskligt, inte tekniskt. Utvecklare checkar in konfigurationsfiler med känsliga uppgifter av misstag. CI/CD-pipelines loggar hemligheter i klartext. Gamla testmiljoer gloms bort. Och när nyckeln väl är ute på GitHub - även om den tas bort sekunder senare - har automatiserade scrapers redan kopierat den.

Det räcker inte att ta bort filen efteråt. Nyckeln måste återkallas och ersättas omedelbart.

Vad innebär det för ditt företag?

Om ditt företag använder TLS-certifikat, API-nycklar eller SSH-nycklar - och det gör alla moderna verksamheter - är det värt att ställa sig fragan: Vet vi var alla våra nycklar finns? Har vi kontroll på vem som har tillgång? Roterar vi dem regelbundet?

For de flesta SME-bolag är svaret nej. Inte för att man inte bryr sig, utan för att det kräver systematik och rätt verktyg.

Tre konkreta åtgärder nu

1. Skanna era repositories. Verktyg som GitGuardian, truffleHog eller GitHub Advanced Security kan hitta läckta hemligheter automatiskt.

2. Infor secret rotation. Sätt en policy: alla API-nycklar och certifikat ska roteras minst en gång per år, eller direkt vid misstänkt exponering.

3. Använd en secrets manager. Tjänster som Azure Key Vault eller AWS Secrets Manager lagrar hemligheter säkert och ger full spårbarhet.

Behöver ni hjälp att se over er IT-säkerhet? Kontakta BlckIT - vi hjälper er att identifiera och täppa till säkerhetsluckor innan de utnyttjas.