A figyelmetlen GitLab-fejlesztők titkai bárki kezébe kerülhettek
Több mint 17 000 jelszót, API-kulcsot és más bizalmas adatot találtak nyilvános GitLab-tárhelyeken, miután egy biztonsági mérnök letapogatta az összes, mintegy 5,6 millió elérhető repozitóriumot a szolgáltatásban. Az ellenőrzést a TruffleHog nevű, nyílt forráskódú eszközzel végezte el, amely automatizáltan keresi a kódokban elrejtett érzékeny adatokat, például titkos tokeneket és jelszavakat.
Automatizált vadászat a titkok után
A mérnök egy egyedi Python-szkripttel gyűjtötte ki a GitLab Cloud összes nyilvános repozitóriumának nevét, majd ezeket egy AWS Simple Queue Service (SQS) sorba küldte. Innentől AWS Lambda-funkciók futtattak párhuzamos vizsgálatokat, amelyekkel egy nap alatt sikerült a teljes 5,6 millió projektet átfésülni. A titokvadász-akció összesen 2804 egyedi domainhez köthető érzékeny adatot hozott felszínre.
Google, MongoDB és OpenAI kulcsok repkedtek
A legtöbb nyilvánosságra került adat – több mint 5200 darab – Google Cloud Platform-fiókokhoz tartozott. Emellett MongoDB-hez, Telegram-botokhoz és OpenAI-szolgáltatásokhoz is bőségesen találtak hozzáférési kulcsokat, sőt 400 GitLab-saját kulcs is illetéktelen kezekbe kerülhetett. Voltak olyan titkok, amelyek már 2009 óta léteznek, és ma is aktívak.
A mérnök automatikusan értesítette az érintetteket, és a vállalatok nagy része visszavonta a kompromittált hozzáféréseket – de sok titkos adat továbbra is elérhető maradt. A bejelentésekért cserébe mintegy 3,2 millió forint (9000 USD) hibavadász-jutalmat zsebelt be. A GitLab tanulsága: a nyilvános kód egyben óriási felelősség is.
Az amerikai LexisNexis, a világ egyik legnagyobb elemzőcége, nemrég elismerte, hogy adatlopás áldozatává vált, ugyanakkor azt hangsúlyozza, hogy a hackerek csak elavult, lényegtelen adatokat szereztek meg...
📞 Érdemes megvizsgálni, hogy a hazai AT&T-felhasználók számára ténylegesen előrelépés-e a szolgáltató most bejelentett új mobilcsomag-választéka, vagy csak újracsomagolt, jól ismert konstrukciókról van szó...
🤓 A kiberbiztonság új korszaka bontakozik ki, ahol az önállóan cselekvő mesterséges intelligencia (MI) ügynökök alapjaiban változtatják meg az erőviszonyokat...
A Google közelgő laptopplatformja, az Aluminium OS, 2026-ban debütálhat, és komoly hangsúlyt helyez a modern munkafolyamatokra és a termelékenységre...
Egy francia egészségügyi szoftvercég, a Cegedim Santé rendszerét súlyos, célzott kibertámadás érte, amely során érzékeny betegadatok milliói kerültek veszélybe...
Továbbá a téli reggelek egyik legnagyobb bosszúsága az elektromos autók tulajdonosai számára, amikor hirtelen, drasztikusan lecsökken járművük hatótávolsága...
Az Apple legújabb fejlesztése, az M5 Pro és M5 Max, új szintre emeli a MacBook Pro teljesítményét: a világ jelenlegi legfejlettebb professzionális laptopprocesszorai mutatkoznak be...
🔏 Érdekes felvetés, hogy a legújabb kibertámadások éppen egy régóta elfogadott, megbízhatónak vélt technológiai szabvány, az OAuth hibakezelésében rejlő hiányosságokat használják ki...
Annak vizsgálatára, hogy az érzelmi kötődés mennyire alapvető szükséglet: egy Japánban élő, Punch nevű hím makákó története bejárta a világot, miután anyja elhagyta őt, később pedig társai is kirekesztették az Ichikawa City Állatkertben...
A mai Magyarország területén, az újkőkorszakban élt emberek temetkezési szokásai és munkaelosztása jóval árnyaltabb képet mutatnak, mint azt sokáig gondoltuk...
Felmerül a kérdés, hogy a James Webb űrteleszkóp új felfedezései vajon választ adnak-e arra, hogyan születtek az univerzum első óriáscsillagai, és miként jöttek létre a legelső szupermasszív fekete lyukak...
Egy lényeges szempont, hogy a Yellowstone Nemzeti Parkban a farkasok és a pumák között állandó a feszültség, de ennek oka nem feltétlenül az, amire elsőre gondolnánk...
A kutatóknak sikerült feltárniuk, miért képesek bizonyos agysejtek sokkal jobban ellenállni az Alzheimer-kór egyik fő károsító tényezőjének, a toxikus tau fehérjének, mint mások...
