- Инженер по безопасности Люк Маршалл обнаружил более 17 000 секретов в публичных репозиториях GitLab.
- Наибольшее число утечек связано с учётными данными Google Cloud Platform — свыше 5200 случаев.
- Плотность секретов в GitLab оказалась на 35% выше, чем ранее выявленная в Bitbucket.
Недавно эксперт по информационной безопасности Люк Маршалл провёл масштабный аудит публичных репозиториев GitLab и выявил значительный объём уязвимой конфиденциальной информации. Используя опенсорс-инструмент TruffleHog, собственные Python-скрипты и облачные сервисы Amazon (Simple Queue Service и Lambda), Маршалл просканировал 5,6 миллионов публичных репозиториев, обнаружив в них 17 430 секретов, включая ключи API, пароли, токены и другие чувствительные данные, разбросанные более чем по 2800 доменам.
Наиболее часто встречающимися утечками стали учётные данные для Google Cloud Platform — их количество превысило 5200. На втором месте по числу зафиксированных секретов расположились ключи MongoDB, после которых следуют токены Telegram-ботов и OpenAI. Примечательно, что плотность подобных секретов в GitLab оказалась на 35% выше по сравнению с результатами аналогичного исследования Маршалла, проведённого ранее на платформе Bitbucket, где было выявлено 6 212 секретов в 2,6 миллиона репозиториев.
Большинство обнаруженных секретов датируются периодом после 2018 года, но встречаются и более старые — вплоть до 2009 года, что указывает на длительное сохранение уязвимых данных в открытом доступе. В стремлении миновать потенциальные риски, специалист автоматизировал процесс уведомления владельцев обнаруженных доменов о проблемах безопасности с использованием инструментов Claude Sonnet 3.7 и собственных скриптов на Python, что помогло привлечь внимание ответственных лиц к устранению утечек. Кроме того, исследователь получил вознаграждение в размере 900 долларов за помощь в укреплении защиты.
Помимо GitLab, Маршалл проводил анализ и других источников конфиденциальной информации, включая Bitbucket и набор данных Common Crawl, применяемый для обучения искусственного интеллекта. В этих источниках также было обнаружено множество уязвимостей — около 12 000 единиц секретных данных.
Данный инцидент подчёркивает важность правильного управления и защиты секретов в разработческих процессах, особенно при использовании облачных платформ и публичных репозиториев. Организациям рекомендуется тщательнее контролировать доступ к критическим данным и внедрять автоматизированные решения для выявления и своевременного удаления конфиденциальной информации из открытого кода.
