Automatizált vadászat a titkok után
A mérnök egy egyedi Python-szkripttel gyűjtötte ki a GitLab Cloud összes nyilvános repozitóriumának nevét, majd ezeket egy AWS Simple Queue Service (SQS) sorba küldte. Innentől AWS Lambda-funkciók futtattak párhuzamos vizsgálatokat, amelyekkel egy nap alatt sikerült a teljes 5,6 millió projektet átfésülni. A titokvadász-akció összesen 2804 egyedi domainhez köthető érzékeny adatot hozott felszínre.
Google, MongoDB és OpenAI kulcsok repkedtek
A legtöbb nyilvánosságra került adat – több mint 5200 darab – Google Cloud Platform-fiókokhoz tartozott. Emellett MongoDB-hez, Telegram-botokhoz és OpenAI-szolgáltatásokhoz is bőségesen találtak hozzáférési kulcsokat, sőt 400 GitLab-saját kulcs is illetéktelen kezekbe kerülhetett. Voltak olyan titkok, amelyek már 2009 óta léteznek, és ma is aktívak.
Visszavonták, de nem mindet
A mérnök automatikusan értesítette az érintetteket, és a vállalatok nagy része visszavonta a kompromittált hozzáféréseket – de sok titkos adat továbbra is elérhető maradt. A bejelentésekért cserébe mintegy 3,2 millió forint (9000 USD) hibavadász-jutalmat zsebelt be. A GitLab tanulsága: a nyilvános kód egyben óriási felelősség is.
