Google 和 GitGuardian 的一項聯合研究表明，由於 GitHub 和 DockerHub 上的私鑰洩露，超過 2600 個有效的 TLS 憑證遭到破壞，這些憑證保護著財富 500 強公司和政府機構。

這些金鑰是TLS憑證的基石，TLS憑證這項技術會在您的瀏覽器中顯示安全鎖圖標，並保護您的信用卡資訊或密碼安全。這些憑證使用一對金鑰：一個公鑰，任何人都可以查看；以及一個私鑰，必須保密。因此，如果私鑰洩露，加密基本上就會失效。

GitGuardian 的研究人員在與 Hackread.com 分享的部落格文章中指出，自 2021 年以來，他們追蹤到大約一百萬個被意外發佈到GitHub和DockerHub等公共程式碼網站上的唯一私鑰。透過將這些私鑰與Google龐大的網路記錄資料庫進行交叉比對，他們將這些洩漏的私鑰對應到 14 萬個真實存在的憑證。

進一步調查揭示了一個令人擔憂的現實：截至2025年9月，這些證書中僅有2622份仍然有效。需要說明的是，其中超過900張證書保護財富500強企業、醫療機構，甚至政府機構。

一旦這些密鑰洩露，危險便會立即降臨。 「洩露的密鑰會讓攻擊者冒充網站或攔截數據，」研究人員解釋。儘管如此，許多大型組織似乎對近在眼前的威脅渾然不覺。

為了解決這個問題，團隊不得不抓取網站記錄、檢查網域所有權，甚至使用人工智慧輔助的網路爬蟲來查找電子郵件地址。儘管如此，仍有大約 1300 個證書無法追踪，由於找不到所有者，這些網站將永久面臨風險。

即使找到了所有者，回應也很冷淡。該團隊向 600 多家機構發送了 4300 封揭露郵件，但只有 9% 的機構回覆。據研究人員稱，一些漏洞賞金計畫甚至要求提供證據，證明擁有網站私鑰確實會造成安全問題。

最終，該團隊實現了97%的修復率，但這僅僅是在直接聯繫憑證授權單位之後才實現的。研究人員得出結論，業界必須轉向使用可自動輪換的一次性鑰匙，以確保即使發生洩漏，也能將損失降到最低。

資料來源：https://hackread.com/certificates-fortune-500-gov-exposed-key-leaks/