Bir güvenlik mühendisi, GitLab Cloud’daki 5,6 milyon genel havuzun tamamını taradıktan sonra, 2.800’den fazla benzersiz alanda 17.000’den fazla açıkta kalan sırrı keşfetti.
Luke Marshall, API anahtarları, şifreler ve belirteçler gibi hassas kimlik bilgileri için depolardaki kodu kontrol etmek amacıyla TruffleHog açık kaynak aracını kullandı.
Araştırmacı daha önce Bitbucket’i taradı ve burada 2,6 milyon depoya yayılmış 6.212 sır buldu. Ayrıca yapay zeka modellerini eğitmek için kullanılan ve 12.000 geçerli sırrı açığa çıkaran Ortak Tarama veri kümesini de kontrol etti.
GitLab, yazılım geliştiriciler, bakımcılar ve DevOps ekipleri tarafından CI/CD işlemleri, geliştirme iş birliği ve depo yönetimi için kod barındırmak üzere kullanılan web tabanlı bir Git platformudur.
Marshall, tüm sonuçları sayfalara ayırmak ve bunları proje kimliğine göre sıralamak için özel bir Python betiği kullanarak, her genel GitLab Bulut deposunu numaralandırmak için bir GitLab genel API uç noktası kullandı.
Bu süreç 5,6 milyon kopya olmayan depo döndürdü ve bunların adları bir AWS Basit Kuyruk Hizmetine (SQS) gönderildi.
Daha sonra, bir AWS Lambda işlevi depo adını SQS’ten aldı, TruffleHog’u buna karşı çalıştırdı ve sonuçları günlüğe kaydetti.
Marshall, “Her Lambda çağrısı, eşzamanlılık 1000’e ayarlanmış olarak basit bir TruffleHog tarama komutunu çalıştırdı” diye açıklıyor.
“Bu kurulum, 5.600.000 veri deposunun taramasını 24 saatten biraz fazla bir sürede tamamlamamı sağladı.”
Yukarıdaki yöntemi kullanan tüm genel GitLab Cloud depolarının toplam maliyeti 770 dolardı.
Araştırmacı, Bitbucket’tekinin neredeyse üç katı kadar ve %35 daha yüksek sır yoğunluğuna (depo başına sır) sahip 17.430 doğrulanmış canlı sır buldu.
Tarihsel veriler, sızdırılan sırların çoğunun 2018’den daha yeni olduğunu gösteriyor. Bununla birlikte Marshall, 2009’dan kalma ve bugün hala geçerli olan bazı çok eski sırları da buldu.
Kaynak: Trüf Mantarı Güvenliği
Sızan sırların en büyük sayısı (5.200’den fazlası) Google Cloud Platform (GCP) kimlik bilgileriydi ve bunu MongoDB anahtarları, Telegram bot tokenları ve OpenAI anahtarları izledi.
Araştırmacı ayrıca taranan depolarda 400’den biraz fazla GitLab anahtarının sızdırıldığını buldu.
Kaynak: Trüf Mantarı Güvenliği
Sorumlu açıklama ruhuna uygun olarak ve keşfedilen sırlar 2.804 benzersiz alanla ilişkili olduğundan Marshall, etkilenen tarafları bilgilendirmek için otomasyona güvendi ve e-posta oluşturmak için web araması özelliğine sahip Claude Sonnet 3.7’yi ve bir Python komut dosyasını kullandı.
Bu süreçte araştırmacı, 9.000 ABD Doları tutarında çok sayıda hata ödülü topladı.
Araştırmacı, yaptığı bildirimlere yanıt olarak birçok kuruluşun sırlarını iptal ettiğini belirtiyor. Ancak GitLab’da açıklanmayan sayıda sır açığa çıkmaya devam ediyor.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.