近500萬站點暴露Git .git目錄,超過25萬筆部署憑證恐外洩
研究發現近500萬個網站伺服器暴露.git中繼資料
根據VPN服務商Mysterium的研究團隊發布的2026年網際網路規模資料研究,發現全球有近500萬個IP位址的網站伺服器,可從公開網路存取Git儲存庫的.git中繼資料,顯示大量伺服器在部署或設定上出現疏漏,導致原本不應對外的內部檔案留在網站可被讀取的位置。
超過25萬筆部署憑證被發現於.git/config中
研究進一步指出,其中252,733個案例的.git/config內含部署憑證,其風險不僅是資訊暴露,更可能導致帳號權杖被濫用,進而引發後續入侵事件,嚴重放大供應鏈安全風險。
暴露風險與地區分佈
研究顯示,暴露的Git伺服器集中在主要的託管中心,其中美國居首,其次是歐洲與亞太地區。此類漏洞可能導致源碼被竊取、部署憑證被濫用,並增加供應鏈攻擊的機會。
相關安全建議
資安專家提醒,企業與組織應加強對伺服器設定的審查,確保敏感資料與部署憑證不被意外暴露於公網,並建立更嚴謹的存取控制與監控機制。