Новые возможности для кибератак: у GitLab обнаружено 17 000 утечек
Специалисты из западной компании Truffle Security провёли масштабное сканирование 5,6 миллиона публичных репозиториев GitLab и обнаружили свыше 17 000 действующих секретов. Эксперты «Группы Астра» рассказали о том, как сократить риски подобных инцидентов.
Среди найденного: ключи облачных провайдеров, инфраструктурные токены, доступы к внутренним сервисам и даже специальные секреты, относящиеся к самому GitLab. Часть обнаруженных данных могла дать злоумышленникам полный доступ к учетным записям и облачным ресурсам владельцев репозиториев.
Важно, что объём сканируемых проектов на GitLab был только примерно в два раза выше, что говорит о большей плотности утечек.
Отдельно отмечается проблема «зомби-секретов» - ключей и токенов, случайно оставленных в старых коммитах десяти- и более летней давности. Несмотря на возраст, многие из них всё ещё действуют и могут быть использованы для атаки.
Исследование подчёркивает критическую важность регулярного мониторинга публичных репозиториев, пересмотра истории коммитов и своевременного отзыва старых ключей, особенно для компаний, которые ведут открытую разработку.
«Проблема «человеческого фактора» и случайных утечек остаётся критической, особенно в среде, изначально созданной для открытости. Проведенное исследование наглядно демонстрирует важность создания и развития культуры «нулевого доверия» при работе с хранением исходного кода. «Нулевое доверие» – это набор обязательных практик: с момента, когда работа над репозиторием ведется более чем 1 человеком, нужно внедрять механизмы проверки репозитория, понимая, что в кодовой базе могут оказаться какие угодно чувствительные данные», – говорит Роман Байталов, архитектор системных решений GitFlic (входит в экосистему «Группы Астра»).
«Данный кейс в очередной раз показывает — даже современные компании, которые ведут разработку с использованием передовых средств, могут быть подвержены угрозам, возникающим вследствие того, что бизнес не фокусирует свое ИТ на инструментах контроля, таких, как мониторинг. Бизнес не всегда видит ценности от внедрения лучших ИТ-практик, таких как, например, GitOps и наблюдаемость. Это может выливаться в целую россыпь потенциальных киберугроз», – говорит Илья Захаров, директор департамента разработки средств мониторинга «Группы Астра», эксперт по продукту Astra Monitoring.