据报道,Truffle Security 安全工程师对 GitLab Cloud 上约 560 万个公共仓库进行扫描,发现其中包含 17,430 条有效密钥,涉及 2,804 个独立域名,涵盖云服务、数据库和各类 API 凭据等敏感信息。他也因此获得超 9000 美元的漏洞奖金。
该研究由安全工程师 Luke Marshall 开展,并通过 Truffle Security 的研究计划发布。他此前也对 Bitbucket 与 Common Crawl 数据集进行过类似检查,分别发现 6,212 条与 12,000 条有效密钥。Luke 长期关注开源生态中的密钥暴露问题,此前曾在 NPM、PyPI 中发现过类似情况。
GitLab 于 2011 年推出,是三大主流 Git 托管服务之一。虽然发布最晚,但其公开仓库数量几乎是 Bitbucket 的两倍。与 GitHub、Bitbucket 一样,由于 Git 记录会长期保留历史提交,平台又托管数百万公开项目,因此更易出现开发者误提交密钥的情况。
Luke Marshall 使用了 Truffle Security 开源软件,利用 GitLab 的公共 API 枚举所有公共仓库,并通过自编写的 Python 脚本分页获取结果。整个过程在约 24 小时内完成,云端总成本约为 770 美元。
Marshall 共发现 17,430 条可验证且仍可使用的密钥,数量约为其 Bitbucket 扫描结果的三倍,库密度(每仓库暴露的密钥数量)也高出 35%。
在暴露的密钥中,Google Cloud Platform(GCP)凭证是最常见的类别,平均每约 1060 个仓库中就会出现一组有效 GCP 密钥,总数超过 5,200 条;其次是 MongoDB 密钥、Telegram 机器人令牌和 OpenAI 密钥。
(来源:IT之家)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...