Инцидент с участием Python Software Foundation (PSF) подчеркнул опасность утечки токенов из двоичных файлов. Персональный токен доступа к GitHub с правами администратора к языку программирования Python и репозиториям PyPI был "открыт" примерно год. Токен, принадлежащий директору по инфраструктуре PSF, был случайно включен в скомпилированные двоичные файлы в процессе сборки.
Компания JFrog, специализирующаяся на безопасности, обнаружила утечку и сообщила о ней, подчеркнув потенциальную опасность, если бы токен был использован не по назначению. Злоумышленники могли внедрить вредоносный код в пакеты Python или в сам язык Python.
Этот инцидент, пишут аналитики, показывает, что одной очистки токенов из исходного кода недостаточно - учетные данные также могут быть встроены в переменные окружения, конфигурационные файлы и бинарные артефакты.
Утечка произошла, когда И Дурбин, директор по инфраструктуре PSF, добавил свой токен доступа, чтобы обойти ограничения скорости GitHub API во время сборки. Хотя токен предназначался только для локального использования, он был случайно включен в файлы .pyc и загружен в Docker Hub. После уведомления JFrog PSF незамедлительно отозвал токен и "не обнаружил никаких признаков вредоносной деятельности".