河北
一位安全研究员在公共GitLab Cloud存储库中发现了数千个秘密,展示了软件开发者们无意中将自己的项目置于网络攻击的风险中。
GitLab Cloud是GitLab的托管版本,开发者可以在这个平台上存储代码、跟踪问题、运行CI/CD管道,并协作开发软件项目。
他揭示了自己如何扫描GitLab Cloud、Bitbucket和Common Crawl,寻找API密钥、密码或令牌等信息——不幸的是,发现了很多。
自动化扫描
在 GitLab Cloud 上,有 17,000 个敏感信息在公共仓库中被泄露,分布在 2,800 个不同的域名上。在 Bitbucket 上,他发现了超过 6,200 个敏感信息,分布在 260 万个仓库中,而在 Common Crawl 上则有 12,000 个有效的敏感信息。
发现这些凭证的黑客可以劫持 云存储服务,窃取数据,部署加密矿工,冒充服务,或进一步渗透到组织的基础设施中。即使是一个泄露的令牌也可以让攻击者长期控制内部系统,使他们能够修改代码、耗尽资源或发起进一步攻击而不被发现。
虽然大多数秘密相对较新(在2018年后生成),但也有一些是几十年前的,仍然有效,这几乎肯定意味着它们被恶意行为者发现并用于攻击。大多数秘密是Google Cloud Platform(GCP)的凭证和MongoDB密钥。其他值得一提的还有Telegram机器人令牌、OpenAI密钥和GitLab密钥。
马歇尔解释了这个过程,他表示他设法自动化了大部分工作。他花了大约24小时,花费不到800美元就完成了所有工作。不过,这还是值得的,因为他据说为自己的努力获得了大约9000美元的奖金。他还成功地自动化了通知流程。他说,许多收到通知的开发者已经保护了他们的项目,但现在仍有一些项目处于暴露状态。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
