A figyelmetlen GitLab-fejlesztők titkai bárki kezébe kerülhettek

Több mint 17 000 jelszót, API-kulcsot és más bizalmas adatot találtak nyilvános GitLab-tárhelyeken, miután egy biztonsági mérnök letapogatta az összes, mintegy 5,6 millió elérhető repozitóriumot a szolgáltatásban. Az ellenőrzést a TruffleHog nevű, nyílt forráskódú eszközzel végezte el, amely automatizáltan keresi a kódokban elrejtett érzékeny adatokat, például titkos tokeneket és jelszavakat.

Automatizált vadászat a titkok után

A mérnök egy egyedi Python-szkripttel gyűjtötte ki a GitLab Cloud összes nyilvános repozitóriumának nevét, majd ezeket egy AWS Simple Queue Service (SQS) sorba küldte. Innentől AWS Lambda-funkciók futtattak párhuzamos vizsgálatokat, amelyekkel egy nap alatt sikerült a teljes 5,6 millió projektet átfésülni. A titokvadász-akció összesen 2804 egyedi domainhez köthető érzékeny adatot hozott felszínre.

Google, MongoDB és OpenAI kulcsok repkedtek

A legtöbb nyilvánosságra került adat – több mint 5200 darab – Google Cloud Platform-fiókokhoz tartozott. Emellett MongoDB-hez, Telegram-botokhoz és OpenAI-szolgáltatásokhoz is bőségesen találtak hozzáférési kulcsokat, sőt 400 GitLab-saját kulcs is illetéktelen kezekbe kerülhetett. Voltak olyan titkok, amelyek már 2009 óta léteznek, és ma is aktívak.

Visszavonták, de nem mindet

A mérnök automatikusan értesítette az érintetteket, és a vállalatok nagy része visszavonta a kompromittált hozzáféréseket – de sok titkos adat továbbra is elérhető maradt. A bejelentésekért cserébe mintegy 3,2 millió forint (9000 USD) hibavadász-jutalmat zsebelt be. A GitLab tanulsága: a nyilvános kód egyben óriási felelősség is.

2025, adrienne, www.bleepingcomputer.com alapján