果真的GitLab代码库泄露了凌驾17,000个密钥

首页 > 清静研究 > 清静转达 > 清静简讯

果真的GitLab代码库泄露了凌驾17,000个密钥

宣布时间 2025-12-01

1. 果真的GitLab代码库泄露了凌驾17,000个密钥

11月28日，清静工程师Luke Marshall通过系统性扫描GitLab Cloud的560万个公共存储库，揭破了大规模敏感信息泄露问题。此次行动接纳TruffleHog开源工具团结GitLab公共API端点，配合自界说Python剧本实现存储库分页排序，并通过AWS SQS与Lambda函数架构实现并行扫描，最终仅耗时24小时、本钱770美元即完玉成量扫描。视察发明，在2800余个差别域名中保存17,430个有用活跃密钥，数目是此前Bitbucket扫描效果（6212个）的近三倍，且密钥密度横跨35%。历史数据显示，大都泄露密钥爆发于2018年后，但部分2009年起的古老密钥仍具效力。按类型划分，Google Cloud Platform凭证占比最高（超5200个），其次为MongoDB密钥、Telegram机械人令牌及OpenAI密钥，另发明400余个GitLab自身密钥泄露。Marshall遵照认真任披露原则，使用Claude Sonnet 3.7的网络搜索功效与Python剧本自动化天生通知邮件，乐成联系受影响方并推动密钥作废。此举不但获得9000美元误差赏金，更促使大宗组织紧迫撤回敏感凭证。然而，仍有部分密钥一连处于袒露状态。

https://www.bleepingcomputer.com/news/security/public-gitlab-repositories-exposed-more-than-17-000-secrets/

2. 法国足球团结会披露网络攻击后数据泄露事务

11月28日，法国足球协会（FFF）于周五披露一起严重数据泄露事务。攻击者通过被盗账户不法会见足球俱乐部治理软件，在系统扫除前乐成窃取大宗会员小我私家数据。经清静团队检测，FFF连忙禁用被入侵账户并强制重置所有用户密码，但泄露规模已涵盖姓名、性别、出生日期及所在、国籍、邮政地点、电子邮箱、电话号码和驾照号码等敏感信息。凭证欧洲数据�；す嬖�，FFF已启动刑事诉讼程序，并向法国国家网络清静局（ANSSI）和国家信息与自由委员会（CNIL）正式报备。该组织允许将直接通过电子邮件通知所有受影响小我私家，并特殊提醒会员小心任何要求提供账户凭证、密码或银行信息的可疑通讯，包括声称来自团结会、俱乐部或其他发件人的诈骗邮件。FFF体现将通过手艺升级和流程优化提升防御能力，同时呼吁会员坚持小心，阻止点击可疑附件或透露敏感信息。

https://www.bleepingcomputer.com/news/security/french-football-federation-fff-discloses-data-breach-after-cyberattack/

3. 黑客挟制美国无线电装备发送虚伪警报

11月28日，美国联邦通讯委员会（FCC）克日宣布紧迫通知，披露黑客通过挟制Barix网络音频装备，在美国多地广播系统中不法播放虚伪应急警报音及冒犯性内容，引发严重公共清静危害。此次攻击聚焦德克萨斯州与弗吉尼亚州，黑客通过重新设置装备使其吸收攻击者控制的流媒体内容，导致正常节目被模拟警报音、EAS"注重信号"及淫秽语言中止。该"注重信号"本应仅用于龙卷风、飓风等紧迫威胁预警，其滥用严重扰乱公共应急系统。FCC剖析指出，事务泉源在于广播装备清静防护薄弱，未授权用户可容易侵入传输路径。部分电台甚至在听众报告收到夹杂偏执言论的异常警报后，才察觉装备遭入侵。为阻止类似事务，FCC在编号DA 25-996的通知中明确要求广播机构强化基础清静步伐：连忙装置厂商清静补丁并升级固件；将默认密码替换为高强度密码并按期更新；将EAS及Barix装备安排在防火墙后，通过VPN限制会见权限；一连监控装备日志以发明未授权行为；参考CSRIC最佳实践指南。这些步伐与2016年Barix公司声明其装备"准确设置高强度密码即清静"的态度一致。

https://www.infosecurity-magazine.com/news/fcc-hackers-hijacking-radio/

4. 佐治亚州GSCCCA遭勒索软件攻击致系统瘫痪

11月26日，佐治亚州高等法院书记员相助治理局（GSCCCA）因遭遇可信且一连的网络清静威胁，自周五起陷入瘫痪状态，其网站及服务会见被暂时限制。该机构认真治理全州159个县的商业备案、房地产及小我私家工业纪录索引、公证员中央数据库及民事案件备案等焦点职能，其瘫痪直接影响全州房地产生意、执法文件处置惩罚及公证服务。GSCCCA网站自攻击爆发后一连显示“系统维护举行中”横幅，周一晚更新确认正在处置惩罚网络攻击�；股鞒�，团队正夜以继日评估测试系统，确�；指词褂们暗执镒罡咔寰脖曜�。此次攻击导致该机构存储的海量数据面临危害，包括房地产左券、典质纪录、地图数据、民事刑事案件档案等。勒索软件团伙Devman已将GSCCCA添加至其泄露网站，声称窃取500GB数据并要求11月27日前支付40万美元赎金。Devman为今年4月新泛起的组织，其成员此前为Qilin、DragonForce等团伙隶属，9月转型为勒索软件即服务（RaaS）组织。

https://therecord.media/georgia-court-filing-org-ransomware-warning

5. 恶意LLM助网犯升级：WormGPT与KawaiiGPT实测威能

11月27日，Palo Alto Networks Unit 42研究团队展现，未受限制的恶意大型语言模子（LLM）如WormGPT 4和KawaiiGPT正显著提升网络犯法能力，通过天生高功效性恶意代码降低攻击门槛。WormGPT 4作为2023年“重生”项目，提供月费50美元或终身220美元订阅服务，专为犯法运动训练，可天生勒索软件加密剧本。该模子还能按指令天生“军用级加密”赎金信，设置72小时付款限期，强化勒索攻击心理威慑。KawaiiGPT则为免费社区驱动型LLM，2.5版本在Linux系统五分钟即可安排。其能力包括天生含逼真域名诱骗的垂纶邮件、使用Paramiko SSH库实现横向移动的Python剧本，以及通过smtplib库打包数据外泄的恶意程序。虽未直接天生加密例程，但其下令执行能力支持权限提升、数据窃取及有用载荷投放。二者均在Telegram拥有数百成员频道，形成手艺交流社区。研究证实，这些模子已从理论威胁转化为现实攻击工具：低手艺攻击者可快速提倡重大攻击，如自动化横向移动、定制化垂纶诱饵，并缩短工具开发周期。

https://www.bleepingcomputer.com/news/security/malicious-llms-empower-inexperienced-hackers-with-advanced-tools/

6. PyPI供应链清静警报：遗留Python包引发域名接受危害

11月28日，网络清静研究职员在剖析遗留Python包时发明，多个着名PyPI软件包保存因域名接受导致的供应链清静误差。ReversingLabs在构建工具zc.buildout的指导剧本中检测到要害误差，该剧本会从已失效的旧域名python-distribute.org下载Distribute软件包装置程序，而该域名现在处于开放注册状态，可被攻击者接受并植入恶意代码。受影响的PyPI包包括tornado、pypiserver、slapos.core等，其指导剧本bootstrap.py在特定条件下会触发域名会见。问题泉源在于Distribute工具的历史遗留问题：作为曾短暂保存的Setuptools分支，Distribute在2013年被重新整合后逐渐镌汰，但部分软件包仍保存了旧版指导剧本。这些剧本接纳硬编码域名下载机制，与恶意软件下载器行为高度相似，形成“不须要的攻击面”。

https://thehackernews.com/2025/11/legacy-python-bootstrap-scripts-create.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究