Nakon što je skenirao svih 5,6 miliona javnih repozitorijuma na GitLab Cloudu, bezbjednosni inženjer otkrio je više od 17.000 izloženih tajnih podataka u preko 2.800 jedinstvenih domena.
Luke Marshall je koristio TruffleHog open-source alat da provjeri kod u repozitorijumima u potrazi za osjetljivim akreditivima poput API ključeva, lozinki i tokena.
Istraživač je ranije skenirao Bitbucket, gdje je pronašao 6.212 tajnih podataka u 2,6 miliona repozitorijuma. Takođe je provjerio i Common Crawl dataset koji se koristi za treniranje AI modela, a koji je otkrio 12.000 validnih tajnih podataka.
GitLab je veb platforma zasnovana na Gitu koju koriste softverski developeri, maintainers i DevOps timovi za hostovanje koda, CI/CD operacije, razvojnu kolaboraciju i upravljanje repozitorijumima.
Marshall je koristio GitLab javni API endpoint da izlista svaki javni GitLab Cloud repozitorijum, uz prilagođeni Python skript koji je paginirao kroz sve rezultate i sortirao ih po ID-u projekta.
Ovaj proces je vratio 5,6 miliona neduplikovanih repozitorijuma, a njihova imena su poslata u AWS Simple Queue Service (SQS).
Zatim je AWS Lambda funkcija izvlačila ime repozitorijuma iz SQS-a, pokretala TruffleHog nad njim i bilježila rezultate.
„Svaka Lambda invokacija izvršavala je jednostavnu TruffleHog scan komandu sa konkurentnošću postavljenom na 1000“, opisuje Marshall.
„Ova postavka mi je omogućila da završim skeniranje 5.600.000 repozitorijuma za nešto više od 24 sata.“
Ukupan trošak za skeniranje svih javnih GitLab Cloud repozitorijuma korišćenjem ove metode iznosio je 770 dolara.
Istraživač je pronašao 17.430 verifikovanih aktivnih tajnih podataka, gotovo tri puta više nego na Bitbucketu, uz 35% veću gustinu tajnih podataka (tajni po repozitorijumu).
Istorijski podaci pokazuju da je većina procurelih tajnih podataka novijeg datuma od 2018. godine. Ipak, Marshall je pronašao i neke veoma stare tajne podatke iz 2009. godine, koji su i danas validni.
Najveći broj izloženih tajnih podataka, preko 5.200, bili su Google Cloud Platform (GCP) akreditivi, a slijede MongoDB ključevi, Telegram bot tokeni i OpenAI ključevi.
Istraživač je takođe pronašao nešto više od 400 GitLab ključeva izloženih u skeniranim repozitorijumima.
U duhu odgovornog prijavljivanja, i zbog toga što su otkriveni tajni podaci bili povezani sa 2.804 jedinstvena domena, Marshall se oslonio na automatizaciju da obavijesti pogođene strane. Iskoristio je Claude Sonnet 3.7 sa mogućnošću veb pretrage i Python skript za generisanje emailova.
U procesu je prikupio i više bug bounty nagrada u ukupnom iznosu od 9.000 dolara.
Istraživač navodi da su mnoge organizacije opozvale svoje tajne podatke nakon njegovih notifikacija. Ipak, nepoznat broj tajnih podataka i dalje ostaje izložen na GitLabu.
Izvor: BleepingComputer
