Die gefundenen Anmeldeinformationen, oft als Tokens oder Schlüssel bezeichnet, waren teilweise bis zu 16 Jahre alt und immer noch aktiv. Viele dieser Daten stammten aus sogenannten CI/CD-Variablen. Das sind Konfigurationseinstellungen, die in der automatisierten Softwareentwicklung genutzt werden, um beispielsweise den Zugriff auf Cloud-Dienste oder Datenbanken zu steuern.
Die Ursache des GitLab Zugangsdaten-Lecks
Das Problem entstand hauptsächlich durch eine unvorsichtige Konfiguration von Entwicklerprojekten. GitLab bietet die Möglichkeit, Projekte als „öffentlich“ zu markieren, wodurch der Quellcode und andere Daten für jeden im Internet sichtbar werden. Wenn Entwickler in diesen öffentlichen Projekten vertrauliche Zugangsdaten hinterlegen, sind diese ebenfalls frei zugänglich.
Besonders problematisch waren dabei Protokolldateien, sogenannte „Job-Logs“. In diesen Dateien werden die Abläufe automatisierter Prozesse dokumentiert. Oftmals enthielten diese Protokolle die geheimen Tokens im Klartext, weshalb sie für die Sicherheitsforscher leicht zu finden waren.
Welche Risiken bestehen durch die offengelegten Daten?
Durch die kompromittierten Zugangsdaten könnten Angreifer tief in die IT-Infrastruktur von Unternehmen eindringen. Sie könnten beispielsweise auf interne Cloud-Systeme zugreifen, sensible Unternehmensdaten stehlen oder schädliche Software einschleusen. Solche Angriffe können erhebliche finanzielle Schäden und Reputationsverluste verursachen.
Die Forscher fanden Schlüssel für eine Vielzahl von Diensten, darunter bekannte Cloud-Anbieter und Entwicklerwerkzeuge. Die enorme Menge und die lange Gültigkeit der Tokens verschärfen die Gefahr zusätzlich, da viele Unternehmen die alten Zugangsdaten vermutlich nicht mehr überwachen.
So schützen Sie Ihre Projekte auf GitLab
Unternehmen sollten dringend alle ihre GitLab-Projekte überprüfen, insbesondere die öffentlichen. Es ist wichtig sicherzustellen, dass keine sensiblen Informationen wie Passwörter oder API-Schlüssel in frei zugänglichen Bereichen gespeichert werden. Eine regelmäßige Rotation von Zugangsdaten, also das Austauschen alter Schlüssel durch neue, ist ebenfalls eine grundlegende Sicherheitsmaßnahme.
Entwickler sollten außerdem darauf achten, wie sie ihre CI/CD-Pipelines konfigurieren. GitLab bietet Funktionen, um Geheimnisse sicher zu verwalten, ohne sie in Protokolldateien preiszugeben. Die Nutzung dieser Werkzeuge ist entscheidend, um die Sicherheit der Softwareentwicklungskette zu gewährleisten und solche Lecks zukünftig zu vermeiden.
