- Seorang peneliti menemukan 17.000 rahasia yang terekspos di repositori GitLab Cloud
- Kredensial yang bocor berisiko terhadap pembajakan, penambangan kripto, dan gangguan infrastruktur yang lebih dalam
- Pemindaian otomatis Marshall, menghasilkan hadiah $9.000; beberapa proyek masih terekspos
Seorang peneliti keamanan menemukan ribuan rahasia di repositori publik GitLab Cloud, menunjukkan bagaimana pengembang perangkat lunak secara tidak sengaja menempatkan proyek mereka pada risiko serangan siber.
GitLab Cloud adalah versi GitLab yang dihosting, sebuah platform yang digunakan pengembang untuk menyimpan kode, melacak masalah, menjalankan pipeline CI/CD, dan berkolaborasi dalam proyek perangkat lunak.
Baru-baru ini, peneliti keamanan Luke Marshall memindai GitLab Cloud, Bitbucket, dan Common Crawl, untuk mencari hal-hal seperti kunci API, kata sandi, atau token, dan menemukan cukup banyak. Di GitLab Cloud ada 17.000 rahasia yang terekspos di repositori publik, tersebar di 2.800 domain unik. Di Bitbucket, ia menemukan lebih dari 6.200 rahasia di 2,6 juta repositori, dan di Common Crawl – 12.000 rahasia valid.
Mengotomatiskan pemindaian
Peretas yang menemukan kredensial ini dapat membajak akun awanmencuri data, menyebarkan cryptominers, meniru layanan, atau beralih lebih jauh ke dalam infrastruktur organisasi. Bahkan satu token yang bocor pun dapat memberi penyerang akses jangka panjang ke sistem internal, memungkinkan mereka mengubah kode, menguras sumber daya, atau melancarkan serangan lebih lanjut tanpa terdeteksi.
Meskipun sebagian besar rahasia tersebut relatif baru (dihasilkan setelah tahun 2018), ada beberapa rahasia yang sudah berumur puluhan tahun dan masih valid, yang hampir pasti berarti rahasia tersebut ditemukan oleh pihak jahat dan digunakan dalam serangan. Sebagian besar rahasia adalah kredensialnya Google Cloud Platform (GCP), dan kunci MongoDB. Penyebutan penting lainnya termasuk token bot Telegram, kunci OpenAI, dan kunci GitLab.
Menjelaskan prosesnya, Marshall mengatakan dia berhasil mengotomatiskan sebagian besar prosesnya. Dia membutuhkan waktu sekitar 24 jam dan hanya di bawah $800 untuk menyelesaikan semuanya. Namun, hal itu sepadan dengan waktu dan uangnya, karena ia diduga berhasil mendapatkan hadiah sekitar $9.000 atas usahanya. Dia juga dapat mengotomatiskan proses notifikasi. Banyak pengembang yang diberitahu mendapatkan proyek mereka, namun beberapa masih terekspos sampai sekarang, katanya.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
