- 26,336
- 46
- 8 Ноя 2022
Масштаб потенциального хаоса трудно даже вообразить.
В популярных облачных средах разработки , где программисты быстро собирают прототипы прямо в браузере, обнаружилась неожиданная проблема. Масштабная проверка показала, что тысячи проектов содержат действующие ключи доступа и другие конфиденциальные данные, которые остаются открытыми годами.
Специалист по безопасности Бен Циммерман проанализировал более 22 миллионов публичных проектов на платформах CodeSandbox, StackBlitz, CodePen и JSFiddle. С помощью инструмента TruffleHog удалось подтвердить утечку 8792 уникальных секретов. Речь идёт о ключах API, токенах доступа и других данных, которые дают прямой доступ к инфраструктуре компаний. Общая сумма вознаграждений за найденные проблемы превысила 20 тысяч долларов.
Наиболее серьёзный случай связан с токеном сотрудника GitHub, найденным в одном из проектов CodeSandbox. Ключ давал права на запись в репозиторий github/github, где хранится исходный код самой платформы. Через такой доступ злоумышленник мог вмешаться в рабочие процессы, изменить код или организовать атаку на цепочку поставок. Проблему передали через программу Bug Bounty, после чего GitHub закрыл уязвимость.
В других случаях находили доступы к инфраструктуре крупных компаний. Один токен сотрудника Home Depot позволял управлять десятками репозиториев и вносить изменения в сотни проектов. Отдельно обнаружили приватный SSH-ключ, связанный с сотрудником Red Hat, который открывал возможность изменять код в репозитории, связанном с OpenShift Dev Spaces.
Анализ показал, что проблема носит системный характер. В отличие от GitHub и GitLab, такие платформы не проверяют проекты на наличие секретов и не блокируют публикацию опасных данных. Если разработчик случайно вставляет API-ключ в код и делает проект общедоступным, информация остаётся доступной до ручного удаления.
Чаще всего утечки происходят в CodeSandbox, где создают полноценные приложения с серверной частью и интеграциями. В CodePen подобных случаев меньше, поскольку сервис используют в основном для фронтенд-демонстраций. При этом общее количество проектов делает даже редкие утечки заметной угрозой.
Данные показывают рост проблемы: в 2025 году число подтверждённых утечек данных оказалось более чем вдвое выше, чем годом ранее. Самые старые уязвимые проекты датируются 2018 годом и до сих пор остаются открытыми.
Выводы исследования просты: где пишут код, там почти неизбежно появляются учётные данные. Если платформы не внедряют автоматическую защиту, ответственность ложится на разработчиков. Проверка общедоступных проектов и смена скомпрометированных ключей остаются единственным быстрым способом снизить риск.
В популярных облачных средах разработки , где программисты быстро собирают прототипы прямо в браузере, обнаружилась неожиданная проблема. Масштабная проверка показала, что тысячи проектов содержат действующие ключи доступа и другие конфиденциальные данные, которые остаются открытыми годами.
Специалист по безопасности Бен Циммерман проанализировал более 22 миллионов публичных проектов на платформах CodeSandbox, StackBlitz, CodePen и JSFiddle. С помощью инструмента TruffleHog удалось подтвердить утечку 8792 уникальных секретов. Речь идёт о ключах API, токенах доступа и других данных, которые дают прямой доступ к инфраструктуре компаний. Общая сумма вознаграждений за найденные проблемы превысила 20 тысяч долларов.
Наиболее серьёзный случай связан с токеном сотрудника GitHub, найденным в одном из проектов CodeSandbox. Ключ давал права на запись в репозиторий github/github, где хранится исходный код самой платформы. Через такой доступ злоумышленник мог вмешаться в рабочие процессы, изменить код или организовать атаку на цепочку поставок. Проблему передали через программу Bug Bounty, после чего GitHub закрыл уязвимость.
В других случаях находили доступы к инфраструктуре крупных компаний. Один токен сотрудника Home Depot позволял управлять десятками репозиториев и вносить изменения в сотни проектов. Отдельно обнаружили приватный SSH-ключ, связанный с сотрудником Red Hat, который открывал возможность изменять код в репозитории, связанном с OpenShift Dev Spaces.
Анализ показал, что проблема носит системный характер. В отличие от GitHub и GitLab, такие платформы не проверяют проекты на наличие секретов и не блокируют публикацию опасных данных. Если разработчик случайно вставляет API-ключ в код и делает проект общедоступным, информация остаётся доступной до ручного удаления.
Чаще всего утечки происходят в CodeSandbox, где создают полноценные приложения с серверной частью и интеграциями. В CodePen подобных случаев меньше, поскольку сервис используют в основном для фронтенд-демонстраций. При этом общее количество проектов делает даже редкие утечки заметной угрозой.
Данные показывают рост проблемы: в 2025 году число подтверждённых утечек данных оказалось более чем вдвое выше, чем годом ранее. Самые старые уязвимые проекты датируются 2018 годом и до сих пор остаются открытыми.
Выводы исследования просты: где пишут код, там почти неизбежно появляются учётные данные. Если платформы не внедряют автоматическую защиту, ответственность ложится на разработчиков. Проверка общедоступных проектов и смена скомпрометированных ключей остаются единственным быстрым способом снизить риск.
- Источник новости
- www.securitylab.ru
