- Автор темы
- #1
ИБ-специалист Люк Маршалл (Luke Marshall) изучил 5,6 млн публичных репозиториев GitLab Cloud и обнаружил более 17 000 забытых там секретов (API-ключей, паролей и токенов) более чем в 2800 уникальных доменах. Исследователь отметил, что большая часть этих секретов по-прежнему актуальна.
Маршалл использовал опенсорсный инструмент TruffleHog, чтобы просканировать все публичные репозитории на платформе. В прошлом исследователь уже проводил похожие эксперименты: ранее он сканировал Bitbucket, где обнаружил 6212 секретов в 2,6 млн репозиториев, а также проверял датасет Common Crawl, который используют для тренировки ИИ-моделей. Там нашлось около 12 000 секретов.
Для нового исследования Маршалл написал Python-скрипт, который перебрал все репозитории через публичный API GitLab, сортировал их по ID проекта и отправлял список в AWS Simple Queue Service (SQS). Дальше в дело вступала функция AWS Lambda: она извлекала имя из SQS, запускала для него TruffleHog и записывала результаты в логи.
Весь процесс изучения занял чуть больше суток, и обошелся исследователю в 770 долларов США.
В итоге Маршалл обнаружил в репозиториях 17 430 подтвержденных «живых» секретов — почти втрое больше, чем в Bitbucket. Плотность утечек (количество секретов на репозиторий) тоже оказалась выше на 35%.
Исследователь пишет, что большая часть раскрытых данных достаточно свежая — начиная с 2018 года. Однако в ходе анализа Маршалл нашел и несколько совсем старых ключей, датированных 2009 годом. При этом они до сих пор работают.
Чаще всего разработчики случайно раскрывали учетные данные Google Cloud Platform (больше 5200 случаев). Также было обнаружено множество ключей MongoDB, токенов для Telegram-ботов и ключей OpenAI. Кроме того, Маршалл нашел чуть больше 400 утекших ключей самого GitLab.
Поскольку найденные секреты были связаны с 2804 уникальными доменами, исследователь не сумел вручную уведомить всех пострадавших. Поэтому он автоматизировал этот процесс: использовал Claude Sonnet 3.7 с веб-поиском и Python-скрипт для генерации писем.
Уведомляя пострадавшие от утечек компании, Маршалл получил несколько наград в рамках программ bug bounty на общую сумму 9000 долларов США.
В своем отчете эксперт отмечает, что многие организации отозвали раскрытые секреты после получения уведомлений, однако немало других секретов по-прежнему можно найти на GitLab.
Маршалл использовал опенсорсный инструмент TruffleHog, чтобы просканировать все публичные репозитории на платформе. В прошлом исследователь уже проводил похожие эксперименты: ранее он сканировал Bitbucket, где обнаружил 6212 секретов в 2,6 млн репозиториев, а также проверял датасет Common Crawl, который используют для тренировки ИИ-моделей. Там нашлось около 12 000 секретов.
Для нового исследования Маршалл написал Python-скрипт, который перебрал все репозитории через публичный API GitLab, сортировал их по ID проекта и отправлял список в AWS Simple Queue Service (SQS). Дальше в дело вступала функция AWS Lambda: она извлекала имя из SQS, запускала для него TruffleHog и записывала результаты в логи.
Весь процесс изучения занял чуть больше суток, и обошелся исследователю в 770 долларов США.
В итоге Маршалл обнаружил в репозиториях 17 430 подтвержденных «живых» секретов — почти втрое больше, чем в Bitbucket. Плотность утечек (количество секретов на репозиторий) тоже оказалась выше на 35%.
Исследователь пишет, что большая часть раскрытых данных достаточно свежая — начиная с 2018 года. Однако в ходе анализа Маршалл нашел и несколько совсем старых ключей, датированных 2009 годом. При этом они до сих пор работают.
Чаще всего разработчики случайно раскрывали учетные данные Google Cloud Platform (больше 5200 случаев). Также было обнаружено множество ключей MongoDB, токенов для Telegram-ботов и ключей OpenAI. Кроме того, Маршалл нашел чуть больше 400 утекших ключей самого GitLab.
Поскольку найденные секреты были связаны с 2804 уникальными доменами, исследователь не сумел вручную уведомить всех пострадавших. Поэтому он автоматизировал этот процесс: использовал Claude Sonnet 3.7 с веб-поиском и Python-скрипт для генерации писем.
Уведомляя пострадавшие от утечек компании, Маршалл получил несколько наград в рамках программ bug bounty на общую сумму 9000 долларов США.
В своем отчете эксперт отмечает, что многие организации отозвали раскрытые секреты после получения уведомлений, однако немало других секретов по-прежнему можно найти на GitLab.