GitLab полон слитых секретов

Исследователь просканировал GitLab и не нашёл ни одного утёкшего секрета! Шутка. Конечно, нашёл. ~17 тысяч штук на ~3 тысячи уникальных доменов. Большая часть старше 2018-го, но нашёлся и уникум из 2009-го. Валидный. А вы как думали?

Просканировал он все 5,6 миллионов публичных репозиториев — всё это с помощью API GitLab, пары сервисов AWS и TruffleHog. В итоге полный скан за сутки и демократичные 770 баксов. Понятно, что это куча заброшенного, тестового и ботового, но есть и с потенциалом. Токены от GCP, MongoDB, AWS и самого GitLab — от последнего 400 ключей.

В итоге по духу и букве ответственного раскрытия затронутые компании уведомлены, 9к баксов BB собраны, кто-то даже отозвал слитое. А кто-то не отозвал. И далеко не у всех желающих наскрапить их за 700 баксов на уме всякое ответственное. Такая вот она, изнанка сенсационных мифов про элитные апэтэшечки. За каждой успешной APT стоит рядовой джун Петров с Nmap на экране и пламенной любовью к родине в сердце.

Ранее также стало известно, что у Cellebrite утекли конфеденциальные данные.