พบ Secret กว่า 17,000 รายการรั่วไหลจาก Repository สาธารณะบน GitLab

นักวิจัยด้านความปลอดภัยค้นพบ Secret มากกว่า 17,000 รายการที่ยังใช้งานได้จริงจากการสแกน repository สาธารณะทั้งหมด 5.6 ล้านรายการบน GitLab Cloud

การสแกนครั้งนี้ใช้เครื่องมือ Open-source อย่าง TruffleHog ในการตรวจสอบ credentials ที่ถูกฝังอยู่ใน source code ซึ่งรวมถึง API keys, passwords และ tokens ต่างๆ โดยใช้ AWS Lambda ในการประมวลผล repository ทั้งหมดภายใน 24 ชั่วโมง ด้วยค่าใช้จ่ายเพียง $770 เท่านั้น ก่อนหน้านี้นักวิจัยคนเดียวกันเคยสแกน Bitbucket พบ Secret 6,212 รายการ และพบอีก 12,000 รายการใน Common Crawl dataset ที่ใช้ฝึก AI

Secret ที่พบมากที่สุดคือ credentials ของ Google Cloud Platform (GCP) มากกว่า 5,200 รายการ ตามมาด้วย MongoDB keys, Telegram bot tokens และ OpenAI keys นอกจากนี้ยังพบ GitLab keys เองมากกว่า 400 รายการที่รั่วไหลอยู่ใน repository สาธารณะ ข้อมูลแสดงให้เห็นว่า Secret ที่รั่วไหลส่วนใหญ่เป็นข้อมูลใหม่หลังปี 2018 แต่ก็ยังพบ Secret เก่าตั้งแต่ปี 2009 ที่ยังใช้งานได้อยู่

นักวิจัยได้แจ้งเตือนองค์กรที่ได้รับผลกระทบทั้ง 2,804 โดเมนผ่านระบบอัตโนมัติ และได้รับ bug bounty รวม $9,000 จากการค้นพบครั้งนี้ หลายองค์กรได้ revoke Secret ที่รั่วไหลแล้ว แต่ยังมีอีกจำนวนมากที่ยังคงถูกเปิดเผยอยู่บน GitLab ผู้ดูแลระบบและนักพัฒนาควรตรวจสอบ repository ของตนเองและใช้เครื่องมืออย่าง TruffleHog ในการสแกนหา credentials ที่อาจรั่วไหล

ที่มา: https://www.bleepingcomputer.com/news/security/public-gitlab-repositories-exposed-more-than-17-000-secrets/