🔍 Кратко:
- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.
⚡️ Что интересного:
- Удалить коммит на GitHub невозможно:
Даже после force push коммиты остаются доступны по хэшу — их можно найти и восстановить.
- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.
- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов: .env, application.properties, docker-compose.yml, main.py.
- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.
- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.
🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner
Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!
Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets
@showconfig #безопасность #github #secrets #tokens #devops #trufflehog