Was passiert, wenn man einen Secret Key in ein öffentliches Repo hochlädt
(threadreaderapp.com)Zeitlich geordnete Zusammenfassung der Ergebnisse eines tatsächlichen Experiments auf GitHub und GitLab
-
Einen AWS-Schlüssel auf GitHub committen
-
7 Minuten später: Leak-Warnung von GitGuardian
-
11 Minuten später: Token kompromittiert (
compromised, geleakt und nicht mehr sicher) -
Innerhalb von 2 Stunden 5 Zugriffsbenachrichtigungen aus Deutschland, den Niederlanden, Großbritannien und der Ukraine usw.
-
GitHub schickt eine Warnmail zu anfälligen Abhängigkeiten (
Vulnerable Dependencies) -
Auf GitLab committen
-
62 Minuten später wird das Token zum ersten und letzten Mal aus Frankreich verwendet
-
Von GitLab kommt keinerlei Sicherheitswarnung (Sicherheitsbenachrichtigungen gibt es nur für Gold-/Ultimate-Nutzer)
Erkenntnisse
-
Es gibt mehr Stellen, die GitHub als GitLab scannen
-
Wenn man GitHub nutzt, sollte man sich den Dienst GitGuardian einmal ansehen
-
Wenn man GitLab nutzt, sollte man ein Upgrade auf Gold/Ultimate in Betracht ziehen
-
Um Leaks im Vorfeld zu verhindern, sollte man Talisman (Pre-Commit Hook) verwenden
-
Um nachträglich zu prüfen, ob etwas geleakt wurde, sollte man den Einsatz von GitLeaks in Betracht ziehen
3 Kommentare
Es ist mir zwar peinlich, aber ich habe auch schon einmal einen Schlüssel in ein GitHub-Repository hochgeladen, und dann hat sich AWS bei mir gemeldet. Sie erklärten mir, dass der Schlüssel deaktiviert werde, wenn ich nicht innerhalb der vorgegebenen Frist Maßnahmen ergreife, und wiesen mich an, den Schlüssel schnell zu ändern sowie unter anderem auch das Passwort des betreffenden Kontos zu ändern.
Ist das nicht etwas, das jeder mindestens einmal erlebt ... haha
GitGuardian : https://www.gitguardian.com/
Talisman : https://github.com/thoughtworks/talisman/
GitLeaks : https://github.com/zricethezav/gitleaks