聚焦源代码安全,网罗国内外最新资讯!
安全工程师Luke Marshall扫描完GitLab Cloud上所有560万个公共代码库后,发现超过2800个独立域名中存在超过1.7万个遭暴露的敏感信息。
Marshall 使用开源工具TruffleHog对这些代码库进行了扫描,检测包括API密钥、密码和令牌在内的敏感凭据。他此前曾扫描过Bitbucket平台,在260万个代码库中发现6212个敏感信息。他还检查了用于训练AI模型的Common Crawl数据集,发现其中存在12000个有效凭证。
GitLab是一个基于web的Git平台,供软件开发者、维护人员和DevOps团队托管代码、进行CI/CD操作、开展开发协作和管理代码库。Marshall通过GitLab的公共API端点枚举所有公共代码库,使用自定义Python脚本进行分页处理并按项目ID排序。该过程共获取560万个非重复代码库,其名称被发送至AWS简单队列服务。随后,AWS Lambda函数从SQS中提取代码库名称,运行TruffleHog进行扫描并记录结果。"每次Lambda调用都会执行简单的TruffleHog扫描命令,并发数设置为1000,"他解释道,"这样的配置使得我能在24小时多一点的时间内完成对560万个代码库的扫描。"
采用上述方法扫描全部GitLab公共代码库的总成本为770美元。
Marshall共发现17430个经验证有效的实时敏感信息,数量达到Bitbucket平台的近三倍,且代码库敏感信息密度(每个代码库包含的敏感信息数量)也高出35%。
历史数据显示,大多数泄露的敏感信息生成于2018年之后。但研究员也发现了一些2009年的老旧但至今仍然有效的凭据。在泄露的凭据中,谷歌云平台凭据数量最多,超过5200个;其次是MongoDB密钥、Telegram机器人令牌和OpenAI密钥。
Marshall还在扫描的代码库中发现400多个GitLab密钥。
本着负责任披露的原则,同时由于发现的敏感信息涉及2804个独立域名,Marshall采用自动化通知方式,结合Claude Sonnet 3.7智能模型的网络搜索功能和Python脚本生成通知邮件。在此过程中他通过漏洞悬赏计划累计获得9000美元奖金。
Marshall报告称,多家机构在接到通知后已撤销其敏感凭据。然而仍有一些(数量未公开)的敏感信息在GitLab平台上处于暴露状态。
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
https://www.bleepingcomputer.com/news/security/public-gitlab-repositories-exposed-more-than-17-000-secrets/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~