Bis zu 16 Jahre alt: Zehntausende gültige Zugangsdaten bei Gitlab geleakt
Ein Sicherheitsforscher namens Luke Marshall von Truffle Security hat Millionen öffentlich zugänglicher Gitlab-Repositories auf geleakte Anmeldeinformationen gescannt – und ist fündig geworden. Wie der Forscher in einem Blogbeitrag(öffnet im neuen Fenster) darlegt, fand er über 17.000 Keys, Token und andere Zugangsdaten, die obendrein allesamt noch gültig waren. Seine Belohnung: Bug-Bounty-Prämien in Höhe von etwas mehr als 9.000 US-Dollar.
Für die Suche nach den Anmeldedaten griff Marshall auf das von Truffle Security entwickelte Open-Source-Tool Trufflehog(öffnet im neuen Fenster) zurück. Dieses wurde zwar zuletzt mehrfach von Cyberkriminellen missbraucht , hilft aber auch Sicherheitsforschern und anderen IT-Experten dabei, geleakte Zugangsdaten aufzuspüren und gegebenenfalls Sicherheitsmaßnahmen einzuleiten.
Marshall scannte nach eigenen Angaben alle öffentlich verfügbaren Code-Repos in der Gitlab Cloud – mehr als 5,6 Millionen an der Zahl. Dabei bediente er sich eines eigenen Skriptes sowie des Clouddienstes AWS Lambda, den er zuvor schon bei einer vergleichbaren Untersuchung bei Bitbucket(öffnet im neuen Fenster) verwendet hatte. Das kostete den Forscher zwar 770 US-Dollar, dafür dauerte es aber nur etwas mehr als 24 Stunden, um alle Repositories zu scannen.
Bis zu 16 Jahre alte Anmeldedaten
Marshall vergleicht seine Funde bei der Gitlab Cloud mit jenen, die er zuvor bei Bitbucket gemacht hatte. Bei Gitlab war die Dichte an geleakten Anmeldedaten pro Repository um knapp 35 Prozent höher. Es gab zwar mehr als doppelt so viele öffentliche Repos (Bitbucket hatte nur rund 2,6 Millionen), dafür aber auch fast die dreifache Menge an gefundenen Anmeldedatensätzen (17.430 bei Gitlab vs. 6.212 bei Bitbucket).
Der Forscher liefert auch Zahlen zum Alter der aufgespürten Zugangsdaten. Die meisten davon wurden bei beiden Plattformen innerhalb der letzten fünf bis zehn Jahre geleakt. Es gab allerdings sowohl bei Gitlab als auch bei Bitbucket auch Anmeldeinformationen, deren Offenlegung bis 2009 zurückreichte. Diese waren also schon 16 Jahre lang öffentlich zugänglich, wurden aber nie geändert und waren daher noch immer gültig.
Betroffene wurden informiert
Mit einer Anzahl von 5.276 waren die meisten von Marshall in der Gitlab Cloud entdeckten Zugangsdaten für die Google Cloud Platform (GCP) vorgesehen. Danach folgten MongoDB (2.062), Token für Telegram Bots (910), OpenAI (678), Sendgrid (599) und AWS (507). Bei 406 Datensätzen handelte es sich um Keys für Gitlab selbst.
Der Forscher meldete seine Entdeckungen nach eigenen Angaben an über 120 betroffene Organisationen und mehr als 30 SaaS-provider, so dass Betroffene ihre Anmeldedaten rotieren und sich vor möglichen Angriffen schützen können. In seinem Blogbeitrag schildert er auch einige Herausforderungen, die er dabei hatte, die Verantwortlichen ausfindig zu machen.
Als Dank erhielt Marshall nach eigenen Angaben lediglich knapp über 9.000 US-Dollar an Bug-Bounty-Prämien. Obwohl er bei Bitbucket zuvor deutlich weniger Anmeldedatensätze fand, erhielt er für seine Funde auf der Code-Hosting-Plattform von Atlassian über 10.000 US-Dollar von den betroffenen Organisationen. Bei früheren Untersuchungen dieser Art hatten andere Forscher schon deutlich höhere Auszahlungen erhalten. Allerdings hängen die Prämien auch immer davon ab, wie brisant die gefundenen Daten für Betroffene tatsächlich sind. Daher ist ein direkter Vergleich in der Regel schwierig.