Tras analizar los 5,6 millones de repositorios públicos de GitLab Cloud, un
ingeniero de seguridad descubrió más de 17,000 secretos expuestos en más de
2,800 dominios únicos.
GitLab es una plataforma Git basada en la web utilizada por desarrolladores de
software, personal de mantenimiento y equipos de DevOps para alojar código,
realizar operaciones de CI/CD, colaborar en el desarrollo y gestionar
repositorios.
Luke Marshall utilizó la herramienta de código abierto TruffleHog para
comprobar el código de los repositorios en busca de credenciales
confidenciales como claves API, contraseñas y tokens.
El investigador
analizó previamente Bitbucket, donde encontró 6.212 secretos distribuidos en 2,6 millones de repositorios.
También
revisó el conjunto de datos Common Crawl, utilizado para entrenar modelos de IA, que expuso 12.000 secretos válidos.
Marshall utilizó la API pública de GitLab para enumerar todos los repositorios
públicos de GitLab Cloud, utilizando un script de Python personalizado para
paginar todos los resultados y ordenarlos por ID de proyecto. Este proceso
devolvió 5,6 millones de repositorios no duplicados, cuyos nombres se enviaron
a un Servicio de Cola Simple (SQS) de AWS.
A continuación, una función de AWS Lambda extrajo el nombre del repositorio de
SQS, ejecutó TruffleHog y registró los resultados.
«Cada invocación de Lambda ejecutó un simple comando de escaneo de
TruffleHog con una concurrencia de 1000»,
describe Marshall.
«Esta configuración me permitió completar el escaneo de 5.600.000
repositorios en poco más de 24 horas».
El costo total de todos los repositorios públicos de GitLab Cloud utilizando
el método mencionado fue de U$S 770. El investigador encontró 17.430 secretos
activos verificados, casi el triple que en Bitbucket, y con una densidad de
secretos un 35% mayor (secretos por repositorio).
Los datos históricos muestran que la mayoría de los secretos filtrados son más
recientes que 2018. Sin embargo, Marshall también encontró algunos secretos
muy antiguos que datan de 2009 y que siguen siendo válidos hoy en día. La
mayor cantidad de secretos filtrados, más de 5.200, correspondieron a
credenciales de Google Cloud Platform (GCP), seguidas de claves de MongoDB,
tokens de bots de Telegram y claves de OpenAI.
El investigador también encontró algo más de 400 claves de GitLab filtradas en
los repositorios analizados.
Con el objetivo de una divulgación responsable y dado que los secretos
descubiertos estaban asociados a 2804 dominios únicos, Marshall recurrió a la
automatización para notificar a las partes afectadas y utilizó Claude Sonnet
3.7 con capacidad de búsqueda web y un script de Python para generar correos
electrónicos.
En el proceso, el investigador obtuvo múltiples recompensas por errores que
ascendieron a 9.000 dólares. El investigador informa que muchas organizaciones revocaron sus secretos en
respuesta a sus notificaciones. Sin embargo, un número no revelado de secretos
continúa expuesto en GitLab.
Fuente: BC