Un análisis reciente de 5.6 millones de repositorios públicos en GitLab Cloud reveló más de 17,000 secretos expuestos, incluyendo claves API, tokens de acceso, contraseñas y credenciales de servicios en la nube. Este hallazgo demuestra que la filtración accidental de credenciales sigue siendo uno de los riesgos más serios en entornos de desarrollo colaborativo.
¿Cómo se realizó el escaneo a escala?
El investigador empleó una combinación de:
El endpoint público de GitLab para enumerar todos los repositorios.
Un script en Python para paginar y organizar los resultados.
AWS SQS y Lambda para procesar cada repositorio.
TruffleHog, una herramienta de código abierto especializada en detectar secretos filtrados.
Gracias a esta arquitectura, se logró escanear los 5.6 millones de repositorios en poco más de 24 horas, con un costo aproximado de $770 USD, demostrando que escaneos a gran escala son accesibles incluso para individuos, no solo para grandes empresas.
Resultados: 17,430 secretos válidos y un problema creciente
El análisis encontró 17,430 secretos activos asociados a 2,804 dominios distintos, casi triplicando lo descubierto previamente en Bitbucket. Entre los datos más relevantes:
El 35% de los repositorios tenían mayor densidad de secretos que otras plataformas revisadas.
La mayoría de las credenciales filtradas son recientes (posteriores a 2018).
Sin embargo, también se hallaron secretos de 2009 que aún siguen activos, lo que evidencia falta de rotación y revisión.
¿Qué tipos de credenciales se expusieron?
El desglose revela una amplia variedad de servicios comprometidos:
Más de 5,200 credenciales de Google Cloud (GCP), la categoría más afectada.
Claves de MongoDB, usadas frecuentemente en entornos de microservicios.
Tokens de bots de Telegram, que pueden permitir control remoto de automatizaciones.
Claves de OpenAI, útiles para abusar de APIs o generar costos indebidos.
Más de 400 claves de GitLab, lo que implica potencial acceso directo a otros repositorios.
Estos hallazgos subrayan cómo los desarrolladores suelen incluir credenciales por error en commits, pipelines o archivos de configuración.
Notificación y respuesta de las organizaciones
Para manejar el volumen de afectados, el investigador automatizó las notificaciones:
Usó un modelo LLM con capacidades de búsqueda web y un script en Python.
Generó correos personalizados a miles de dominios.
Como resultado, varias organizaciones revocaron sus claves expuestas. No obstante, muchas credenciales continúan activas, lo que mantiene abierto el riesgo de abuso.
Un recordatorio urgente para los equipos de desarrollo
La filtración de secretos en repositorios públicos es un problema prevenible, pero común. Este hallazgo demuestra que:
La exposición puede persistir durante años.
Los atacantes pueden automatizar la búsqueda de claves con costos mínimos.
La falta de rotación y monitoreo facilita accesos no autorizados de alto impacto.
Conclusión
El descubrimiento de más de 17,000 secretos válidos en GitLab es una señal clara de que las organizaciones deben reforzar su cultura de seguridad en desarrollo, implementar escaneo continuo y adoptar prácticas estrictas de protección de credenciales. La superficie de ataque basada en repositorios públicos sigue creciendo, y cada clave expuesta representa una puerta abierta para intrusiones y compromisos severos.
