- El investigador Luke Marshall encuentra 17.000 secretos abiertos en el repositorio en la nube de GitLab
- Las credenciales filtradas plantean el riesgo de secuestro, criptominería y compromiso profundo de la infraestructura
- El escaneo automático de Marshall gana una recompensa de 9.000 dólares; Algunos proyectos permanecen abiertos
Un investigador de seguridad ha encontrado miles de secretos en el repositorio público en la nube de GitLab, lo que muestra cómo los desarrolladores de software, sin darse cuenta, ponen sus propios proyectos en riesgo de sufrir ataques cibernéticos.
GitLab Cloud es la versión alojada de GitLab, una plataforma que los desarrolladores utilizan para almacenar código, rastrear problemas, ejecutar canalizaciones de CI/CD y colaborar en proyectos de software.
Luke Marshall reveló cómo escaneó GitLab Cloud, Bitbucket y Common Crawl en busca de claves API, contraseñas o tokens, y desafortunadamente se descubrieron muchas cosas.
Automatiza el escaneo
Se han publicado 17.000 secretos en repositorios públicos repartidos en 2.800 dominios únicos en GitLab Cloud. En Bitbucket, encontró más de 6200 secretos en 2,6 millones de repositorios y 12 000 secretos válidos en Common Crawl.
Los piratas informáticos que encuentren estas credenciales pueden secuestrar cuentas de almacenamiento en la nube, robar datos, implementar criptomineros, hacerse pasar por personas o penetrar profundamente en la infraestructura de una organización. Incluso un token filtrado puede brindar a los atacantes acceso a largo plazo a los sistemas internos, permitiéndoles modificar el código, agotar recursos o lanzar más ataques sin ser detectados.
Si bien la mayoría de los secretos eran relativamente nuevos (creados después de 2018), había algunos que tenían décadas de antigüedad y aún eran válidos, lo que casi con certeza significa que fueron descubiertos por actores maliciosos y utilizados en ataques. La mayoría de los secretos eran certificados para claves de Google Cloud Platform (GCP) y MongoDB. Otras menciones notables incluyen Telegram Bot Token, OpenAI Key y GitLab Key.
Al explicar el proceso, Marshall dijo que pudo automatizar gran parte del mismo. Le tomó alrededor de 24 horas y poco menos de $800 terminarlo todo. Valió la pena su tiempo y su dinero, aunque logró llevarse a casa una recompensa de alrededor de 9.000 dólares por sus esfuerzos. También pudo automatizar el proceso de notificación. Muchos promotores anunciados han asegurado sus proyectos, pero algunos todavía no están cubiertos, afirmó.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
