Segurança digital

Crescimento descontrolado de identidades de máquina ameaça segurança digital

A expansão de identidades não humanas em sistemas modernos está gerando uma crise de segurança digital, com milhões de segredos expostos e riscos ampliados por IA e permissões excessivas.

09/04/2025 12:30

A nova edição do relatório State of Secrets Sprawl 2025, publicado pela GitGuardian, revela uma realidade preocupante: o crescimento acelerado de identidades não humanas (Non-Human Identities – NHIs), como bots, serviços automatizados e agentes de IA, está criando lacunas gigantescas na segurança de sistemas. Esses “usuários” digitais, que já superam os humanos na proporção de 45 para 1 em ambientes DevOps, estão no centro de uma crise crescente de exposição de segredos e vazamento de credenciais sensíveis.

A ameaça invisível das identidades de máquina no ecossistema de software moderno

Mais de 23 milhões de segredos expostos em 2024

Segundo o estudo, foram identificados 23,77 milhões de segredos vazados no GitHub ao longo de 2024, um aumento de 25% em relação ao ano anterior. A maioria dos incidentes envolve chaves de API, tokens de acesso e outras credenciais sensíveis ligadas a NHIs, refletindo como essas identidades estão ampliando a superfície de ataque para atores maliciosos.

Além disso, a GitGuardian identificou que 70% dos segredos expostos em 2022 ainda estavam ativos em 2024, evidenciando falhas crônicas nas práticas de rotação e revogação de credenciais.

Repositórios privados: o novo ponto cego

Contrariando expectativas, os repositórios privados apresentaram oito vezes mais segredos expostos do que os públicos. O estudo aponta que isso se deve à falsa sensação de segurança promovida pelo acesso restrito, levando desenvolvedores a negligenciarem boas práticas de gestão de segredos. Entre os vazamentos privados:

74,4% dos vazamentos envolvem segredos genéricos.
24% dessas credenciais são senhas reutilizadas.
Chaves de acesso a serviços corporativos como AWS aparecem em 8% dos repositórios privados, contra apenas 1,5% nos públicos.

Esses dados reforçam que a segurança baseada em obscuridade não é suficiente — é necessária uma política ativa de detecção e correção.

Assistentes de IA: produtividade com alto custo de segurança

A integração de ferramentas como GitHub Copilot tem elevado a produtividade dos desenvolvedores, mas também aumentou em 40% a incidência de vazamentos de segredos em projetos que utilizam essas assistências. Isso indica que a pressa e automação trazidas pela IA podem colocar em segundo plano cuidados fundamentais com a segurança, como evitar expor chaves diretamente no código.

Docker Hub revela falhas críticas

Uma varredura em 15 milhões de imagens públicas do Docker Hub identificou mais de 100 mil segredos válidos, muitos vinculados a grandes empresas. A maioria dos vazamentos ocorreu em camadas de imagens menores que 15 MB, e 65% foram originados em variáveis ENV, expondo um problema estrutural na forma como containers são construídos e publicados.

Ferramentas colaborativas também expõem dados sensíveis

Além dos repositórios de código, plataformas como Slack, Jira e Confluence também têm sido alvos frequentes de vazamento de credenciais. Cerca de 38% dos segredos identificados nesses sistemas foram classificados como altamente críticos, superando os incidentes em bases de código. Apenas 7% desses segredos foram encontrados também no repositório, o que dificulta ainda mais sua detecção e correção.

Essa dispersão é agravada pela natureza colaborativa dessas ferramentas, utilizadas por múltiplos departamentos, o que aumenta os vetores de risco.

Permissões excessivas ampliam danos

Outro dado alarmante do relatório é o grau de permissão associado a credenciais vazadas:

99% das chaves da API do GitLab tinham acesso total ou leitura irrestrita.
96% dos tokens do GitHub permitiam escrita, com 95% podendo controlar o repositório inteiro.

Esse cenário facilita ataques com movimentação lateral e escalonamento de privilégios, transformando pequenos vazamentos em grandes brechas de segurança.

Rompendo o ciclo com gestão integrada

Apesar do uso crescente de soluções de gerenciamento de segredos, a GitGuardian alerta que somente ferramentas automatizadas não resolvem o problema. Mesmo projetos com soluções dedicadas apresentaram taxa de vazamento de 5,1% em 2024.

A resposta eficaz requer uma estratégia holística, que aborde desde a criação até a revogação de segredos, com monitoramento contínuo, automação inteligente e cultura de segurança integrada ao ciclo de desenvolvimento.

Conclusão: a urgência de controlar as NHIs

O relatório serve como um alerta urgente: à medida que as identidades de máquina se multiplicam, também se multiplicam os riscos associados a elas. Ignorar essa realidade é comprometer toda a segurança da infraestrutura digital. As organizações precisam adotar um modelo proativo, centrado na visibilidade, controle e resposta rápida, para enfrentar essa nova era de ameaças invisíveis, alimentadas por códigos, bots e pipelines automatizados.

Jardeson Márcio

Mais Notícias

Mais artigos

Telefone grampeado

Descubra agora: Qual o número para saber se seu celular está grampeado

Você já se perguntou se seu celular está grampeado? Em um mundo cada vez mais digital, a privacidade se tornou uma preocupação primordial para muitos. A ideia de que alguém pode estar ouvindo suas conversas e monitorando suas atividades pode ser alarmante. Felizmente, existem maneiras de descobrir se suas comunicações estão sob vigilância. Neste artigo, […]

Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software.

Segurança digital

Roubo de token no SpotBugs resultou em ataque massivo no GitHub

O ataque à cadeia de suprimentos do GitHub, iniciado na Coinbase, foi rastreado ao roubo de um token de acesso do SpotBugs. Invasores exploraram workflows do GitHub Actions para comprometer repositórios e propagar o ataque.

Ameaça cibernética

Falha crítica no Ivanti Connect Secure é explorada para disseminar malware avançado

Uma vulnerabilidade crítica (CVE-2025-22457) no Ivanti Connect Secure está sendo explorada para distribuir os malwares TRAILBLAZE e BRUSHFIRE. A falha permite execução remota de código, comprometendo a segurança dos dispositivos afetados.

Imagem com a logomarca do Apache com fundo branco

Segurança cibernética

Falha crítica de execução remota afeta Apache Parquet

Uma falha crítica de execução remota de código (RCE) foi descoberta no Apache Parquet, afetando todas as versões até 1.15.0. A vulnerabilidade, rastreada como CVE-2025-30065, recebeu pontuação CVSS 10.0 e pode comprometer sistemas de big data.

Ameaça persistente

Trojan Triada vem pré-instalado em dispositivos Android falsificados

Uma nova variante do trojan Triada foi descoberta em dispositivos Android falsificados, permitindo o roubo de dados na configuração inicial. O malware compromete o sistema diretamente no firmware, garantindo controle total aos invasores.

Privacidade genética

OpenSNP encerrará atividades e excluirá dados por privacidade

O openSNP será encerrado em 30 de abril de 2025 e excluirá todos os dados devido a preocupações com privacidade. A decisão foi tomada por riscos de uso indevido das informações genéticas por governos e empresas, tornando o projeto insustentável.