보안 연구원이 공개 GitLab 저장소에서 17,000개의 비밀을 발견했습니다.
- 한 연구원이 GitLab Cloud 저장소에서 노출된 17,000개의 비밀을 발견했습니다.
- 유출된 자격 증명은 하이재킹, 암호화폐 채굴 및 심층 인프라 손상 위험이 있습니다.
- Marshall의 자동 스캔, 보상으로 9,000달러 획득 일부 프로젝트가 노출되었습니다
보안 연구원이 공개 GitLab Cloud 저장소에서 수천 개의 비밀을 발견하여 소프트웨어 개발자가 실수로 자신의 프로젝트를 사이버 공격의 위험에 빠뜨리고 있음을 보여줍니다.
GitLab Cloud는 개발자가 코드를 저장하고, 문제를 추적하고, CI/CD 파이프라인을 실행하고, 소프트웨어 프로젝트에서 협업하는 데 사용하는 플랫폼인 GitLab의 호스팅 버전입니다.
보안 연구원 Luke Marshall은 최근 GitLab Cloud, Bitbucket 및 Common Crawl에서 API 키, 비밀번호 또는 토큰과 같은 항목을 검색하여 꽤 많은 것을 발견했습니다. GitLab Cloud에는 2,800개의 고유 도메인에 분산된 공개 저장소에 17,000개의 비밀이 노출되어 있었습니다. Bitbucket에서는 260만 개의 저장소에서 6,200개 이상의 비밀을 발견했으며 Common Crawl에서는 12,000개의 유효한 비밀을 발견했습니다.
스캐닝 자동화
이러한 자격 증명을 찾아낸 해커는 클라우드 계정을 탈취하거나, 데이터를 훔치거나, 암호화폐 채굴기를 배포하거나, 서비스를 가장하거나, 조직의 인프라에 심층적으로 침투할 수 있습니다. 단일 유출된 토큰이라도 공격자는 내부 시스템에 장기적으로 액세스할 수 있어 코드를 수정하거나 리소스를 소진하거나 탐지 없이 추가 공격을 시작할 수 있습니다.
대부분의 비밀은 상대적으로 새로운 것(2018년 이후 생성됨)이지만 수십 년이 지났고 여전히 유효한 비밀도 있었습니다. 이는 악의적인 행위자가 발견하여 공격에 사용했음을 의미합니다. 대부분의 비밀은 Google Cloud Platform(GCP) 자격 증명과 MongoDB 키였습니다. 다른 주목할만한 언급으로는 Telegram 봇 토큰, OpenAI 키 및 GitLab 키가 있습니다.
Marshall은 프로세스를 설명하면서 대부분의 프로세스를 자동화했다고 말했습니다. 모든 작업을 수행하는 데 약 24시간이 걸렸고 800달러도 채 되지 않았습니다. 하지만 그는 자신의 노력에 대한 보상으로 약 9,000달러를 모을 수 있었기 때문에 그만한 가치가 있었고 돈도 있었습니다. 또한 알림 프로세스를 자동화할 수도 있었습니다. 통보받은 개발자 중 상당수가 프로젝트를 확보했지만 일부는 지금도 노출된 상태로 남아 있다고 그는 말했습니다.
도로 Bleeping컴퓨터
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 당사의 뉴스, 리뷰 및 전문가 의견을 수신합니다. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도