gitleaks.com : Moteur de recherche pour trouver des données sensibles sur Github

Github est incontestablement la plateforme la plus utilisée au monde pour hébergée des centaines de milliers de projets divers et variés. Plateforme Web, projets pour Raspberry Pi, scripts python, modules PHP… Régulièrement, des développeurs peut scrupuleux oublient d’enlever certaines données sensibles de leurs projets avant de les publier en ligne. L’outil en ligne Gitleaks.com est un moteur de recherche permettant de trouver des données sensibles sur GitHub : Mots de passes, clés SSH, clés secrètes à des API (Facebook, Twitter..) accès à des comptes SFTP… De quoi faire quelques dégâts si ces données tombaient entre de mauvaises mains.

A la manière de Shodan (qui liste tous les appareils accessibles sur Internet), voici désormais le nouvel ennemis n°1 des développeurs qui ont tendances à oublier de nettoyer leur code avant de le mettre en ligne.

Gitleaks.com est donc un moteur de recherche permettant de trouver une multitudes d’informations confidentielles dans les milliers de projets disponibles sur la plateforme GitHub.

Grâce à Gitleaks, voici les informations qu’il est possible de trouver :

  • Twitter Secrets
  • Facebook Secrets
  • Instagram Secrets
  • AWS Secrets
  • RDS Secrets
  • Sendgrid Secrets
  • Bitly Secrets
  • Stripe Secrets
  • Uber Secrets
  • MongoDB Secrets
  • SQL Secrets
  • Generic Secrets
  • Google Secrets
  • Redis Secrets

Il s’agit donc principalement des clés privées nécessaires aux projets des développeurs pour fonctionner avec les services proposant des APIs. Mais GitLeaks ne s’arrête pas là, et vous pourrez également remonter des mots de passes en clair, des serveurs SFTP et bien plus.

Un seul conseil donc : Vérifiez votre code avant de le publier sur GitHub (ou tout autre plateforme accessible). Et si vous trouvez une info confidentiels sur l’un de vos projets, nettoyez rapidement le code et modifiez les accès (en changeant les clés secrètes, les mots de passes, etc.).

Source

Fondateur de networkshare.fr, ce site me permet de publier tout ce que j’adore : des tests de produits, des tutoriels et des astuces ! Toujours en rapport avec le vaste monde high-tech… Le tout dans la bonne humeur !