- Seorang peneliti telah mengungkapkan 17.000 rahasia di repositori cloud GitLab
- Kredensial yang bocor membawa risiko pembajakan, penambangan kripto, dan membahayakan infrastruktur dalam
- Pemindaian otomatis Marshall, memperoleh hadiah $9.000; Beberapa proyek masih belum terungkap
Seorang peneliti keamanan menemukan ribuan rahasia di repositori cloud GitLab publik, menunjukkan bagaimana pengembang perangkat lunak tanpa sadar menempatkan proyek mereka pada risiko serangan cyber.
GitLab Cloud adalah versi GitLab yang dihosting, sebuah platform yang digunakan pengembang untuk menyimpan kode, melacak masalah, menjalankan pipeline CI/CD, dan berkolaborasi dalam proyek perangkat lunak.
Baru-baru ini, peneliti keamanan Luke Marshall memindai GitLab Cloud, Bitbucket, dan Common Crawl untuk mencari hal-hal seperti kunci API, kata sandi, atau token, dan menemukan banyak hal. 17.000 rahasia terungkap di repositori publik yang mencakup 2.800 domain unik di cloud GitLab. Di Bitbucket, ia menemukan lebih dari 6.200 rahasia di 2,6 juta repositori, dan di Common Crawl – 12.000 rahasia valid.
Otomatiskan pemindaian
Peretas yang menemukan kredensial ini dapat membajak akun cloud, mencuri data, menyebarkan cryptominers, menyamar sebagai layanan, atau menembus infrastruktur organisasi. Bahkan satu token yang bocor pun dapat memberi penyerang akses jangka panjang ke sistem internal, memungkinkan mereka mengubah kode, mengekstrak sumber daya, atau melancarkan serangan lain tanpa terdeteksi.
Meskipun sebagian besar rahasia tersebut relatif baru (dilahirkan setelah tahun 2018), beberapa di antaranya sudah berusia puluhan tahun dan masih berlaku, yang hampir pasti berarti rahasia tersebut ditemukan oleh pihak yang jahat dan digunakan dalam serangan. Sebagian besar rahasianya adalah kredensial untuk Google Cloud Platform (GCP), dan kunci MongoDB. Penyebutan penting lainnya termasuk token bot Telegram, kunci OpenAI, dan kunci GitLab.
Menjelaskan prosesnya, Marshall mengatakan dia berhasil mengotomatiskan sebagian besar prosesnya. Dia membutuhkan waktu sekitar 24 jam dan hanya di bawah $800 untuk menyelesaikannya. Namun, hal ini sepadan dengan waktu dan uangnya, karena ia dilaporkan menerima hadiah sekitar $9.000 atas usahanya. Dia juga mampu mengotomatiskan proses notifikasi. Dia mengatakan banyak pengembang yang diberitahu melindungi proyek mereka, namun beberapa masih muncul.
melalui Komputer tidur
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
