A pesquisadora de segurança Sharon Brizinov ganhou US$ 64 mil em recompensas por identificar centenas de segredos vazados em repositórios públicos do GitHub. O diferencial de sua descoberta foi a capacidade de recuperar arquivos excluídos que ainda estavam acessíveis no histórico do Git, revelando tokens de acesso, chaves de API e outras credenciais confidenciais que os desenvolvedores acreditavam ter removido.
Leia também
China acusa a NSA de ataques durante Jogos de Inverno
Prodaft anuncia que compra logins da dark web
O problema decorre do funcionamento do Git, que mantém um histórico completo de alterações, incluindo arquivos já deletados do diretório de trabalho. Mesmo que um arquivo seja removido, ele ainda pode existir em commits antigos ou como objetos não referenciados no diretório .git/objects, sendo retido por até duas semanas antes de ser coletado como lixo. Assim, a simples exclusão de arquivos com dados sensíveis não é suficiente para eliminar completamente os riscos.
Brizinov criou uma ferramenta que automatiza a clonagem de repositórios públicos, percorre o histórico de commits, restaura arquivos excluídos e escaneia o conteúdo em busca de segredos. Ao focar em empresas com programas de recompensa por bugs e repositórios populares, ela encontrou dados ativos em arquivos binários e ocultos, com tokens vinculados a plataformas como AWS, GCP, Slack, HuggingFace, Algolia e outros.
Segundo a pesquisadora, os principais motivos para os vazamentos são o desconhecimento sobre o funcionamento interno do Git, falhas na verificação de arquivos ocultos ou binários e excesso de confiança em ferramentas de reescrita de histórico. Ela alerta que, em caso de vazamento, não basta excluir os arquivos: é necessário também rotacionar os segredos expostos para mitigar o risco de comprometimento futuro.
