Peste 17.000 de date sensibile valide au fost găsite expuse în cod sursă prezent în toate cele aproximativ 5,6 milioane de repository‑uri publice de pe platforma GitLab, un serviciu de administrare și dezvoltare a proiectelor software.
Serviciul GitLab oferă un flux unificat pentru dezvoltare, testare și livrare rapidă de cod, simplificând colaborarea și automatizarea întregului ciclu de viață al aplicațiilor (DevOps).
Descoperirea a fost realizată de inginerul de securitate Luke Marshall care a verificat întregul ecosistem public GitLab folosind TruffleHog, un scanner open source pentru identificarea de date sensibile expuse în cod sursă.
Pentru o acoperire completă, Marshall a folosit API‑ul public GitLab pentru a enumera toate proiectele cu vizibilitate publică, urmată de scanarea lor la scară largă.
TruffleHog a fost rulat cu opțiuni care validează automat informația sensibilă, astfel încât analiza să se concentreze doar pe chei valide, nu doar pe șabloane suspecte.
Tipurile de date expuse includ, în principal, credențiale pentru Google Cloud Platform, alte servicii cloud și SaaS (software-as-a-service), token‑uri GitLab, precum și token‑uri pentru servicii de colaborare precum Slack.
Un aspect important este validitatea extinsă a unora dintre ele, Marshall descoperind un commit pentru un secret valid încă din decembrie 2009, cel mai probabil importat, pentru că GitLab nici nu apăruse la data respectivă.
Studiul evidențiază și sute de token‑uri GitLab valide prezente în repository‑uri GitLab publice, semnalând tendința dezvoltatorilor de a comite pe aceeași platformă cheile folosite pentru integrare și automatizare.
Pentru triere și notificare, autorul a combinat un model LLM cu scripturi personalizate pentru a găsi cele mai bune metode de raportare către 2.804 organizații ce aveau datele sensibile expuse.
După notificarea companiilor afectate, Marshall a colectat recompense de tip bug bounty în valoare de $9.000 și mii de chei valide au fost revocate.
Din păcate, acest tip de expunere a datelor nu este un caz izolat. Informații extrem de valoroase pentru atacatori pot fi găsite și pe alte platforme online, precum JSONFormatter sau CodeBeautify, adesea folosite pentru formatarea codului pentru aspect estetic.
Aceste site‑uri publice, ajung să joace același rol ca un repository public neglijat: un spațiu de lucru transformat, în practică, într‑un depozit de secrete reutilizabile.
