חוקר סרק 22 מיליון פרוייקטים בארבעה סביבות פיתוח בענן, מצא אלפי סיקרטים, כולל אחד סופר קריטי של גיטהאב, וקיבל תגמול של ל

חוקר סרק 22 מיליון פרוייקטים בארבעה סביבות פיתוח בענן, מצא אלפי סיקרטים, כולל אחד סופר קריטי של גיטהאב, וקיבל תגמול של למעלה מ-20,000 דולר. במחקר שביצע החוקר (בן ה-17) הוא סרק למעשה אלפי פרוייקטים ציבוריים שנבנו בסביבות פיתוח בענן, כאלו שמאפשרות כתיבה, בדיקה והרצה של קוד ישירות מהדפדפן. החוקר מצא אלפי סיקרטים פעילים כשהמעניין ביותר היה סיקרט של עובד GitHub, שהעניק לחוקר הרשאת כתיבה לרפוסיטורי המרכזי github/github ולעוד עשרות אלפי רפוסיטורים פרטיים של גיטהאב. עם. טוקן כזה רגיש היה נופל הידיים של התוקפים היה יכול להיגרם נזק רציני: With workflow permissions on top of write access, this token could have been used to modify GitHub Actions pipelines, inject code into GitHub's production codebase, or pivot into downstream supply chain attacks. בגיטהאב הודו על הממצאים תיגמלו את החוקר ב-20,00 דולר. לא יודע לדעתי זה שווה יותר.... המחקר המלא - כאן. שרשור מעניין בנושא (עברית) - כאן אגב, המחקר הזה הזכיר לי את המחקר של שרון שפירסמתי כאן, שגם עסק בסיקרטים בגיטהאב וכן'. אם לא קראתם אז שווה להעיף מבט. t.me