Grootschalige GitLab-scan onthult meer dan 17.000 gelekte secrets

In dit artikel:

Security engineer Luke Marshall doorzocht ruim 5,6 miljoen openbare GitLab-repositories op zoek naar gelekte geheimen en ontdekte 17.430 nog werkende credentials verspreid over meer dan 2.800 organisaties. Met TruffleHog als detectietool en een eigen workflow op basis van de publieke GitLab-API, AWS SQS en Lambda (gelijktijdigheid 1.000) voltooide hij de scan in iets meer dan 24 uur voor ongeveer 770 dollar.

De analyse laat zien dat GitLab een hogere concentratie aan gelekte gegevens bevat dan Bitbucket: bijna drie keer zoveel werkende geheimen en ongeveer 35% meer lekken per repository. De meeste blootgestelde sleutels stammen van na 2018, maar Marshall trof ook nog bruikbare sleutels uit 2009 aan, wat wijst op lang meereizende credentials bij migraties en in repository-geschiedenissen.

Veel gevonden secrets betroffen cloud- en dienstspecifieke toegangssleutels: meer dan 5.000 Google Cloud Platform-keys, daarnaast MongoDB-sleutels, Telegram-tokens, OpenAI-sleutels en ruim 400 GitLab-tokens. De aanwezigheid van platform-eigen tokens in publieke projecten illustreert wat Marshall “platform-localiteit” noemt: ontwikkelaars lekken vaak sleutels van het platform waarop ze werken op datzelfde platform.

Het informeren van getroffen partijen was arbeidsintensief; Marshall combineerde geautomatiseerde opsporing met Claude Sonnet 3.7 en scripts om contactinformatie en meldingen te genereren. Veel organisaties reageerden door sleutels in te trekken; het onderzoek leverde ongeveer 9.000 dollar aan bugbounties op. Marshall waarschuwt dat secrets niet vanzelf verdwijnen uit repository-geschiedenissen en adviseert periodieke, grootschalige scans en actief rotatie- en schoonmaakbeleid om langdurige risico’s te beperken.