GitHub Archive menyimpan semua commit publik, termasuk yang dihapus melalui force-push, sebagai zero-commit PushEvents.
Dengan memindai peristiwa force-push sejak 2020, peneliti menemukan rahasia senilai 25 ribu dolar dalam program bug bounty.
Tool open-source Force Push Scanner diluncurkan untuk mengotomatiskan pencarian commit terhapus dan memindai rahasia di GitHub.
Menghapus commit tidak benar-benar menghilangkan data; commit masih dapat diakses menggunakan hash atau hanya empat digit heksadesimal pertama.
Kebocoran rahasia biasanya berasal dari file .env, index.js, dan konfigurasi lain, dengan MongoDB, GitHub PAT, dan kredensial AWS sebagai yang paling umum.
Studi kasus menemukan GitHub PAT admin untuk proyek Istio, berisiko mengancam rantai pasokan; token segera dicabut setelah terungkap.
Get notified when new stories are published for "Berita Peretas 🇮🇩 Bahasa Indonesia"