- El investigador Luke Marshall encontró 17.000 secretos expuestos en los repositorios de GitLab Cloud
- Las credenciales filtradas exponen secuestros, criptominería y compromisos de infraestructura
- El escaneo automatizado de Marshall ganó $9,000 en premios; algunos proyectos son revelados
Un investigador de seguridad ha descubierto miles de secretos en los repositorios públicos de GitLab Cloud, lo que demuestra cómo los desarrolladores de software, sin saberlo, ponen sus proyectos en riesgo de sufrir ataques cibernéticos.
GitLab Cloud es la versión alojada de GitLab, una plataforma que los desarrolladores utilizan para almacenar código, rastrear problemas, ejecutar canales de CI/CD y colaborar en proyectos de software.
Luke Marshall revela cómo escaneó GitLab Cloud, Bitbucket y Common Crawl en busca de claves API, contraseñas o tokens y, desafortunadamente, encontró muchas cosas.
Automatizar el escaneo
GitLab Cloud tenía 17.000 secretos expuestos en repositorios públicos, distribuidos en 2.800 dominios únicos. En Bitbucket, encontró más de 6.200 secretos en 2,6 millones de repositorios, y en Common Crawl, 12.000 secretos válidos.
Los piratas informáticos que encuentren estas credenciales pueden secuestrar cuentas de almacenamiento en la nube, robar datos, implementar criptomineros, reemplazar servicios o penetrar la infraestructura de una organización. Incluso un solo token filtrado puede brindar a los atacantes acceso a largo plazo a los sistemas internos sin ser detectados para modificar el código, agotar recursos o lanzar más ataques.
Aunque la mayoría de los secretos eran relativamente nuevos (creados a partir de 2018), había algunos que tenían décadas de antigüedad y aún eran válidos, lo que significa que fueron descubiertos por malos actores y utilizados en ataques. La mayoría de los secretos eran credenciales clave de Google Cloud Platform (GCP) y MongoDB. Otras menciones notables incluyen tokens de bot de Telegram, claves OpenAI y claves GitLab.
Al explicar el proceso, Marshall dijo que logró automatizar la mayor parte. Se necesitaron aproximadamente 24 horas y menos de 800 dólares para hacer todo. Sin embargo, valió la pena y su dinero, ya que logró recaudar alrededor de $9,000 por sus esfuerzos. También pudo automatizar el proceso de notificación. Muchos de los promotores notificados habían certificado sus proyectos, pero algunos todavía siguen abiertos, afirmó.
A través de pitidocomputadora
El mejor antivirus para cada presupuesto
Siga TechRadar en Google News y agréganos como tu fuente predeterminada para recibir noticias, puntos de vista y opiniones de nuestros expertos en feeds. ¡Asegúrate de presionar el botón Continuar!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para recibir noticias, reseñas, unboxings en forma de video y recibir actualizaciones constantes de nuestra parte WhatsApp también
