Витік секретів з публічних репозиторіїв GitLab

10.12.2025

Дослідник Люк Маршалл вивчив 5,6 мільйонів публічних репозиторіїв GitLab Cloud і виявив понад 17,000 забутих секретів (API-ключів, паролів та токенів) у більш ніж 2800 унікальних доменах. Більшість цих секретів все ще є актуальною.

Для аналізу Маршалл використовував інструмент TruffleHog та написав Python-скрипт, який перебирав репозиторії через публічний API GitLab, використовуючи AWS для обробки. Процес зайняв трохи більше доби і коштував 770 доларів.

У результаті було знайдено 17,430 діючих секретів, що майже втричі більше, ніж у попередньому дослідженні на Bitbucket. Найчастіше зустрічалися облікові дані Google Cloud (понад 5200 випадків), а також ключі MongoDB та токени Telegram-ботів. Дослідник автоматизував процес повідомлення компаній про розкриті дані за допомогою Claude Sonnet та Python-скрипту, заробивши 9000 доларів на програмах bug bounty.

Незважаючи на повідомлення, багато секретів, як і раніше, доступні в GitLab.


Звертайтеся, будь ласка, з питаннями про покупку програмних продуктів GitLab в компанію «ФОРТ СОФТ» за електронною поштою: info@fortsoft.com.ua або за телефоном: +380(44)-333-82-68.

  • Розкажіть друзям:
Дивитися всі новини
IBM Expert Labs пропонує AI-послуги для Maximo Application Suite
12.02.2026
IBM Expert Labs пропонує AI-послуги для Maximo Application Suite
Компанія випустила серію сервісів штучного інтелекту, які забезпечать єдиний підхід до підтримки організацій, які починають впровадження ШІ в рамках цього пакету.
Детальніше
CISA попереджає про активну вразливість SSRF в GitLab
11.02.2026
CISA попереджає про активну вразливість SSRF в GitLab
Недолік полягає у некоректній перевірці наданих користувачем URL-адрес у процесі перевірки конфігурації безперервної інтеграції.
Детальніше
btn Смотреть другие новости