GitHub Archive en de GitHub Event API bewaren alle ‘zero-commit’ force-push events, waardoor ogenschijnlijk verwijderde commits altijd toegankelijk blijven.
De onderzoeker bouwde een automatisering om sinds 2020 alle force-push events te scannen en ontdekte duizenden actieve geheime sleutels.
Samen met Truffle Security werd de open source tool Force Push Scanner vrijgegeven om verborgen commits naar secrets te doorzoeken.
De methode leverde ongeveer $25k aan bug bounty-beloningen op voor gevonden secrets in oude commits.
In een casestudy werd een gepersonaliseerd toegangstoken met adminrechten op alle Istio-repositories gevonden en gerapporteerd.
Get notified when new stories are published for "🇳🇱 Hacker News Dutch"