GitHub Archive registra todos los commits públicos, incluidos los borrados por force push, como eventos PushEvent con cero commits.
Usando la API de eventos de GitHub y GH Archive, es posible detectar commits eliminados (“Oops commits”) y recuperar sus hashes.
Se puede clonar selectivamente el commit anterior (“before”) y escanear el contenido por credenciales filtradas con herramientas como TruffleHog.
Truffle Security y Sharon Brizinov han abierto un proyecto de código abierto (Force Push Scanner) para automatizar la búsqueda de commits filtrados en organizaciones de GitHub.
Esta técnica permitió descubrir miles de secretos activos desde 2020, generando aproximadamente $25k en recompensas.
Como caso de estudio, se previno un comprometimiento masivo de la cadena de suministro al revocar un token de acceso personal (PAT) con privilegios de administrador en repositorios de Istio.
La conclusión principal es que un commit eliminado no garantiza seguridad: cualquier secreto subido debe considerarse comprometido y revocado inmediatamente.
Get notified when new stories are published for "🇪🇸 Hacker News Espanyol"