Manchmal wirken Sicherheitsforscher wie die Putzkräfte des Netzes. Sie laufen nicht mit Besen herum, sondern mit Skripten, Scannern und einem unerschütterlichen Glauben daran, dass irgendwo im Code wieder jemand versehentlich einen geheimen Zugangsschlüssel stehen gelassen hat. Genau so jemand ist Luke Marshall. Und was er kürzlich in der Gitlab Cloud gefunden hat, ist beeindruckend und zugleich ein ziemlicher Schock.
Ein Blick in Millionen Repositories
Marshall hat sich nicht mit ein paar Projekten begnügt. Er hat wirklich jedes öffentlich zugängliche Repository auf Gitlab durchsucht. Mehr als fünf Millionen. Er tat das nicht per Hand, sondern mit einem Tool namens Trufflehog und einer cleveren Kombination aus eigenen Skripten und einem Schwarm von AWS Lambda Funktionen. So etwas ist die digitale Variante eines Mähdreschers, der durch ein gigantisches Feld fährt und dabei alles einsammelt, was wie ein verstecktes Geheimnis aussieht.
Geheimnisse überall
Das Ergebnis war ein Haufen Zugangsdaten, die nie an die Öffentlichkeit gehört hätten. Und zwar nicht ein paar vereinzelte Fundstücke, sondern über siebzehntausend gültige Keys und Tokens. Es ging um alles Mögliche aus Cloud Plattformen, Datenbanken, Messaging Bots und sogar Gitlab selbst. Besonders alarmierend waren all die Zugangsdaten, die schon seit Jahren offen im Netz lagen und dennoch bis heute funktionierten. Manche davon lagen dort länger herum, als viele Entwickler im Berufsleben stehen.
Der Versuch, die richtigen Menschen zu finden
Marshall setzte sich danach hin und informierte die Organisationen, die durch diese Funde betroffen waren. Das ist der Teil der Arbeit, über den man selten spricht. Es ist der Moment, in dem ein Forscher versucht herauszufinden, wer überhaupt zuständig ist, welche Mailadressen noch existieren und wie man jemanden dazu bringt, Zugangsdaten zu ändern, die seit anderthalb Jahrzehnten keiner angerührt hat. Es ist ein unspektakulärer, aber wichtiger Teil jedes großen Sicherheitsfundes.
Viel Arbeit, wenig Anerkennung
Am Ende dieser ganzen Aktion blieb ein recht nüchternes Ergebnis. Trotz der enormen Dimension der Funde kamen etwas mehr als neuntausend Dollar an Prämien zusammen. Für Außenstehende klingt das vielleicht viel. Für jemanden der tagelang Infrastruktur erstellt, Skripte schreibt, riesige Datenmengen verarbeitet und Firmen schützt, ist es eher ein symbolischer Händedruck. Zumal er bei einer kleineren Untersuchung auf einer anderen Plattform schon einmal mehr Geld erhalten hatte.
Ein Spiegel der Realität im Jahr der Cloud
Der Fall zeigt recht deutlich, wie locker viele Entwickler und Unternehmen mit Zugangsdaten umgehen. Geheimnisse landen im Code, Code landet im Netz und niemand schaut mehr hin. Bis eben jemand wie Marshall kommt und alles findet. Es erinnert daran, dass Sicherheit nicht nur von großen Firewalls abhängt, sondern oft von Kleinigkeiten. Ein vergessener Schlüssel im Code kann Jahre später noch Schaden anrichten.
© stock.adobe.com, logoboom