Security engineer Luke Marshall heeft een uitgebreid onderzoek uitgevoerd naar meer dan 5,6 miljoen publieke GitLab Cloud repositories om blootgestelde geheimen te identificeren. Met behulp van TruffleHog vond hij 17.430 geldige credentials verspreid over meer dan 2.800 organisaties. Dit onderzoek bouwde voort op een eerdere scan van Bitbucket, waar minder geheimen werden gevonden ondanks een lager aantal repositories. Marshall toont hiermee aan dat GitLab een hogere concentratie aan gelekte gegevens heeft, wat wijst op een structureel probleem binnen ontwikkelplatformen.

Om de volledige GitLab-omgeving te doorzoeken, gebruikte Marshall de publieke GitLab-API en een Python-script om alle projecten via paginatie op te halen. De 5,6 miljoen unieke repositories werden verwerkt via AWS Simple Queue Service. Een AWS Lambda-functie voerde een TruffleHog-scan uit op elke repository en registreerde de resultaten. Elke Lambda-aanroep voerde een eenvoudige scan uit met duizend gelijktijdige processen, waardoor de operatie binnen 24 uur kon worden afgerond. De kosten bedroegen ongeveer 770 dollar. De resultaten tonen aan dat GitLab bijna drie keer zoveel werkende geheimen bevat als Bitbucket, met een 35 procent hogere dichtheid aan gelekte gegevens per repository. De meeste blootgestelde credentials dateren van na 2018, maar er werden ook sleutels uit 2009 gevonden die nog bruikbaar waren. Veel van de gevonden geheimen waren cloud- en dienstspecifieke toegangssleutels, waaronder meer dan vijfduizend Google Cloud Platform-sleutels. Ook werden MongoDB-sleutels, Telegram-tokens en OpenAI-sleutels aangetroffen. Marshall vond ook meer dan vierhonderd GitLab-tokens in publieke GitLab-repositories, wat hij platform-localiteit noemt. Dit is de neiging van ontwikkelaars om sleutels van het platform waarop zij werken op datzelfde platform te lekken. Het informeren van de getroffen organisaties was een omvangrijke taak. Marshall gebruikte automatisering, Claude Sonnet 3.7 en een Python-script om meldprocedures en contactgegevens te achterhalen en passende meldingen te genereren. Veel organisaties trokken hun sleutels in na deze notificaties, en het onderzoek leverde Marshall ongeveer negenduizend dollar aan bug-bounties op. Volgens Marshall benadrukken de bevindingen dat periodieke, grootschalige scans noodzakelijk zijn voor organisaties die afhankelijk zijn van open source en cloudomgevingen. Secrets verdwijnen niet vanzelf uit de geschiedenis van repositories en vormen jarenlang risico’s als ze niet actief worden opgeschoond of vervangen.