Витік секретів з публічних репозиторіїв GitLab

09.12.2025

Дослідник Люк Маршалл вивчив 5,6 мільйонів публічних репозиторіїв GitLab Cloud і виявив понад 17,000 забутих секретів (API-ключів, паролів та токенів) у більш ніж 2800 унікальних доменах. Більшість цих секретів все ще є актуальною.

Для аналізу Маршалл використовував інструмент TruffleHog та написав Python-скрипт, який перебирав репозиторії через публічний API GitLab, використовуючи AWS для обробки. Процес зайняв трохи більше доби і коштував 770 доларів.

У результаті було знайдено 17,430 діючих секретів, що майже втричі більше, ніж у попередньому дослідженні на Bitbucket. Найчастіше зустрічалися облікові дані Google Cloud (понад 5200 випадків), а також ключі MongoDB та токени Telegram-ботів. Дослідник автоматизував процес повідомлення компаній про розкриті дані за допомогою Claude Sonnet та Python-скрипту, заробивши 9000 доларів на програмах bug bounty.

Незважаючи на повідомлення, багато секретів, як і раніше, доступні в GitLab.


Звертайтеся, будь ласка, з питаннями про покупку програмних продуктів GitLab в компанію «ФОРТ СОФТ» за електронною поштою: info@fortsoft.com.ua або за телефоном: +380(44)-333-82-68.

  • Розкажіть друзям:
Дивитися всі новини
Оновлення Maxon та планове коригування цін
09.12.2025
Оновлення Maxon та планове коригування цін
Можливість придбати оновлену продукцію за старими цінами до кінця поточного року.
Детальніше
Чому IBM SPSS приносить реальну цінність для SMB?
08.12.2025
Чому IBM SPSS приносить реальну цінність для SMB?
Перетворіть голі цифри на інформацію, необхідну для більш зважених рішень, без залучення цілої команди аналітиків з IBM SPSS Statistics.
Детальніше
btn Смотреть другие новости