GitLab-da məxfi məlumatların ifşası

GitLab Cloud platformasında 5.6 milyon açıq mənbə kodu repozitoriyası üzərində aparılan genişmiqyaslı araşdırma nəticəsində 17000-dən çox məxfi məlumat ifşa olunub. Təhlükəsizlik mühəndisi Luke Marshall bu araşdırmanı TruffleHog adlı açıq mənbəli alət vasitəsilə həyata keçirib. O, repozitoriyalarda API açarları, parollar və tokenlər kimi həssas məlumatları müəyyən edib.

Əvvəlki təcrübələrdən dərslər

Marshall daha əvvəl Bitbucket platformasını araşdırmış və 2.6 milyon repozitoriyada 6212 məxfi məlumat aşkar etmişdi. Həmçinin, süni intellekt modellərinin təlimində istifadə olunan Common Crawl datasetini analiz edərək 12000 etibarlı məxfi məlumat tapmışdı.

Araşdırmanın texniki detalları

GitLab-ın açıq API interfeysindən istifadə edərək, Marshall xüsusi bir Python skripti ilə bütün açıq GitLab Cloud repozitoriyalarını sıralayıb. Bu proses nəticəsində 5.6 milyon unikal repozitoriya müəyyən olunub və bu repozitoriyalar AWS Simple Queue Service (SQS) sisteminə göndərilib. Daha sonra AWS Lambda funksiyası vasitəsilə TruffleHog aləti ilə skan edilib. Bu yanaşma sayəsində bütün repozitoriyaların analizi cəmi 24 saat ərzində başa çatıb və bu proses təxminən 770 dollar xərc tələb edib.

Aşkar edilən məlumatlar və təsirləri

Tədqiqat nəticəsində 17430 təsdiqlənmiş məxfi məlumat aşkar edilib ki, bu da Bitbucket-dəki tapıntılardan üç dəfə çoxdur. Ən çox ifşa olunan məlumatlar arasında 5200-ü Google Cloud Platform (GCP) açarları, MongoDB açarları, Telegram bot tokenləri və OpenAI açarları olub. Həmçinin, 400-dən çox GitLab açarı da ifşa olunub.

Marshall-ın bildirdiyinə görə, ifşa olunan məxfi məlumatların əksəriyyəti 2018-ci ildən sonra yaradılıb. Lakin 2009-cu ilə aid və hələ də istifadə olunan məlumatlar da tapılıb. Bu, təşkilatların köhnə məlumatları yeniləmədiyini göstərir və təhlükəsizlik risklərini artırır.

Təşkilatların reaksiyası və nəticələr

Marshall, məsuliyyətli məlumatlandırma prinsiplərinə əsaslanaraq, avtomatlaşdırılmış sistemlər vasitəsilə təsirlənmiş tərəfləri məlumatlandırıb. O, bu prosesdə Claude Sonnet 3.7 süni intellekt alətindən və Python skriptlərindən istifadə edib. Bu fəaliyyət nəticəsində Marshall bir neçə bug bounty mükafatı qazanaraq ümumilikdə 9000 dollar əldə edib. Bir çox təşkilat aşkar edilən məxfi məlumatları deaktiv etsə də, hələ də GitLab-da ifşa olunan məlumatlar qalmaqdadır.

Bu hadisə kibertəhlükəsizlik sahəsindəki boşluqlara diqqət çəkir və təşkilatları məlumatların qorunmasına daha ciddi yanaşmağa çağırır.