Публичные репозитории GitLab раскрыли более 17 000 секретов

В публичных репозиториях GitLab оказалось более 17 000 секретов — ключей API, токенов, паролей и другой личной информации. Инженер по безопасности Люк Маршалл просканировал ^[1]все 5,6 млн публичных репозиториев GitLab Cloud с помощью опенсорс-утилиты TruffleHog и выявил 17 430 секретов в более чем 2800 доменах.

Маршалл использовал публичный API GitLab, собственный Python-скрипт для постраничного просмотра и AWS-сервисы — Simple Queue Service (SQS) и Lambda. При помощи TruffleHog он проверил код в репозиториях на наличие конфиденциальных учётных данных, таких как ключи API, пароли и токены.

Плотность секретов в GitLab оказалась на 35% выше, чем в Bitbucket, который Маршалл исследовал ранее (6212 секретов в 2,6 миллиона репозиториев). Большинство утечек новее 2018 года, но есть и старые — с 2009 года. Лидерами стали учётные данные Google Cloud Platform (более 5200), за ними следуют ключи MongoDB, токены Telegram-ботов и OpenAI.

В рамках ответственного раскрытия Маршалл автоматизировал уведомления владельцам доменов с помощью Claude Sonnet 3.7 и Python-скриптов. Поиск секретов принёс ему $900 вознаграждения. Отмечается, что многие организации отозвали конфиденциальные данные, но часть по-прежнему доступна.

Помимо GitLab и Bitbucket, Маршалл анализировал набор данных Common Crawl, который используется для обучения ^[2] моделей искусственного интеллекта ^[3]. Проверка выявила 12 000 единиц конфиденциальной информации.