O que acontece quando você faz upload de uma chave secreta em um repositório público
(threadreaderapp.com)Resultados de um experimento real no GitHub e no GitLab, organizados em ordem cronológica
-
Commit de uma chave da AWS no GitHub
-
Após 7 minutos, alerta de vazamento do GitGuardian
-
Após 11 minutos, token comprometido (
compromised, vazado e não mais seguro) -
Durante 2 horas, 5 alertas de acesso vindos da Alemanha/Holanda/Reino Unido/Ucrânia etc.
-
O GitHub enviou um e-mail de alerta sobre dependências vulneráveis (Vulnerable Dependencies)
-
Commit no GitLab
-
Após 62 minutos, o token foi usado pela primeira e última vez na França
-
No GitLab, não houve nenhum alerta de segurança (alertas de segurança disponíveis apenas para usuários Gold/Ultimate)
Lições
-
Há mais serviços escaneando o GitHub do que o GitLab
-
Se você usa GitHub, vale a pena dar uma olhada no serviço GitGuardian
-
Se você usa GitLab, considere fazer upgrade para Gold/Ultimate
-
Para evitar vazamentos antes que aconteçam, use o Talisman (pre-commit hook)
-
Para verificar depois se houve vazamento, considere adotar o GitLeaks
3 comentários
É constrangedor, mas eu também já subi uma chave para um repositório no GitHub, e a AWS entrou em contato comigo. Eles me orientaram a tomar providências rapidamente, dizendo que, se eu não resolvesse dentro do prazo estipulado, desativariam a chave, além de recomendar a troca da chave e também da senha da conta.
Isso é algo que todo mundo acaba passando pelo menos uma vez... hahaha
GitGuardian : https://www.gitguardian.com/
Talisman : https://github.com/thoughtworks/talisman/
GitLeaks : https://github.com/zricethezav/gitleaks